新潟を代表するB級グルメの1つ「イタリアン」発祥の店であるみかづきのECサイトからカード情報が漏えいした様です。
www.security-next.com
公式発表
2.個人情報流出状況
(1)原因
弊社が運営する「みかづきオンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス。
(2)個人情報流出の可能性のあるお客様
2019 年 9 月 30 日~2020 年 5 月 25 日の期間中に「みかづきオンラインショップ」においてクレジットカード決済をされたお客様は 464 名で、流出した可能性のある情報は以下のとおりです。
・クレジットカード名義人
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
キタきつねの所感
随分前の新潟出張で、みかづきの「イタリアン」を食べた記憶があります。一言で言うなら、うどんの様な焼きそばにミートソースがかかったものです。誕生したのが昭和35年なので、かれこれ60年新潟で愛されているローカルフードです。
みかづきのサイトは、現在閉鎖中になっています。
こちらのサイトを魚拓サイトで確認していきます。
侵害期間が、「2019年9月30日~2020年5月25日」となっているので、この期間中のデータを探してみると、直近では2020年5月5日の魚拓データがあったので、こちらのソースコードを見ていきます。
すると、いつものJavaScriptコールが見つかりました。
こちらの1つを開いてみると・・・EC-CUBE、2000-2013のCopyrightからv2.13を利用していた様です。
推定表に入れて時系列を確認してみると、
■EC-CUBEバージョンの推定表
| リリース日 |
バージョン |
| 2007/12/4 |
EC-CUBEv2.0リリース |
| 2008/4/10 |
EC-CUBEv2.1リリース |
| 2008/10/1 |
EC-CUBEv2.3リリース |
| 2009/5/19 |
EC-CUBEv2.4リリース |
| 2011/3/23 |
EC-CUBEv2.11リリース
|
| 2012/5/24 |
EC-CUBEv2.12リリース
|
| 2013/9/19 |
EC-CUBEv2.13リリース
▲みかづきの利用バージョン
|
| 2015/7/1 |
EC-CUBEv3リリース |
|
2018/10/11
|
EC-CUBEv4リリース
|
|
2019/9/30~2020/5/25
|
▲みかづきが侵害を受けた時期
|
| 2019/10/29 |
EC-CUBEv2.17リリース |
| 2019/12/20 |
経産省注意喚起 |
| 2019/12/23 |
EC-CUBE注意喚起 |
やはり昨年末の経産省やイーシーキューブ社の注意喚起がECサイト側に認知されてない事がよく分かります。みかづき側が注意喚起の後で今回侵害を受けた脆弱点を修正出来ていたとすれば、被害が半分程度で抑えられた可能性が高いかと思います。
去年末の経産省の異例の注意喚起が出て、まもなく1年になります。カード情報の総漏えい件数は大きく減っています(2019年が約30万件、2020年が現在までで約4.1万件)が、インシデントの発生件数は去年を超す勢い(2019年が52件、2020年が現在まで49件)です。
総漏えい件数が減っているので問題無い、と言う考えもあるかと思いますが、全体としてのインシデント発表件数が減ってない事に対して、カード会社や決済代行会社は、自社の管理するEC加盟店に対して注意喚起内容をチェックさせる事を繰り返す(啓蒙する)必要があるのではないでしょうか。
以下再掲します。
===
自ECサイト側で当然対策していなければいけない部分(設定ミスやパッチ当て)は、カード情報非保持サービスが提供するセキュリティでカバーされません。言い方を変えれば、ECサイト側がさぼっている事に対する万能なセキュリティ対策はありません。
最後に、昨年12月の経産省の異例の注意喚起を載せておきます。EC-CUBE2系ユーザーは今一度、この内容を確認すべきかと思います。
www.meti.go.jp
■EC-CUBEバージョン別 運用環境チェックリスト
www.ec-cube.net
余談です。フォレンジック調査会社(P.C.F. FRONTEO社)がきちんと調査した結果の公式発表だと思いますので、関係は無いのかと思いますが、魚拓サイトのデータをチェックしていて気になる点がありました。それが、2019年12月23日の魚拓で、”カード決済に不具合が出ている”事がHP上で告知されています。
※これが侵害を受けた兆候だった可能性を感じます。この際に詳細調査せずに自社で障害として解決してしまったのだとすれば、みかづき側は被害を最小限に食い止められたチャンスを逃してしまったのかも知れません。※根拠はありません。
さらに余談です。2020年を振り返るにはまだ早いですが、日本のECサイトでは、今年は海外で公表されるAPT攻撃による被害は(まだ)出てない気がします。現在EC-CUBEを攻撃しているのは、高度な技術を持つハッカーというよりかは、スクリプトキディ(初心者)によるものだと思います。
年末年始にかけてECサイトは大きな売り上げが上がるのは海外だけでなく、日本も同じだと思います。海外では(毎年ですが)ECサイトを狙った攻撃が増える時期です。
日本の大手ECサイトは、自サイトのセキュリティ対策は大丈夫だと考えるのではなく、MageCartの様なハッカーが、攻撃のチャンスを伺っているかも知れないと考えて、侵入や攻撃の兆候を警戒すべきかと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
