EXILEのグッツ販売のオンラインショップからカード情報が漏えいし、一部不正利用がされていた事が発表されました。
www.itmedia.co.jp
公式発表
個人情報流出状況
(1)原因
第三者によって「EXILE TRIBE STATION ONLINE SHOP」に不正アクセスされ、決済処理プログラムの改ざんが行われたため。
(2)個人情報流出の可能性があるお客様
2020年8月18日~2020年10月15日の期間中に「EXILE TRIBE STATION ONLINE SHOP」において、新規にクレジットカード情報を会員登録いただいたお客様、又は既に会員登録により登録済みのクレジットカード番号を変更されたお客様44,663名の以下のクレジットカード情報。
【流出した可能性のあるクレジットカード情報】
・クレジットカード名義人
・クレジットカード番号
・有効期限
・セキュリティコード
上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。
この内、2020年11月27日時点で、少なくとも209名のお客様のカードが不正利用をされた可能性があるとクレジットカード会社より報告を受けております。
(公式発表より引用)
キタきつねの所感
手元の集計データでは、カード情報4.4万件は今年発生したカード情報漏えい事件(約50件)の累計数とほぼ同じです。つまり「EXILE TRIBE STATION ONLINE SHOP」のインシデントによって、今年のカード情報漏えい件数がほぼ倍になった事になります。(累計約8.8万件)
結論から先に書いてしまうと、「EXILE TRIBE STATION ONLINE SHOP」はEC-CUBE2系(v2.13)を利用していた可能性が高いと思われます。
※v2.12との外部からのご指摘有(12/9 PM追記)
芸能プロダクションとしては大手のレプロが11/11にカード情報漏えいを発表(※侵害時期は7月)しましたが、レプロもEC-CUBE(v2.13)を利用していました。
多くのファンが訪問するオンラインショップだけに、サポートは継続しているとは言え2系であってもv2.17を利用する、あるいは3系や4系、ec-cube.co(クラウド版)等に移行してよりセキュアなサイトを構築する事を検討、あるいは監視強化も含めた多層防御を見直しするべきだったのかと思います。
foxsecurity.hatenablog.com
※今回の発表で驚いたのが、侵害期間が約2か月間しかない点です。改めてEXILE TRIBEの人気のほどが伺えます。
侵害の可能性がある事を通知された10/15から、当該サイトは閉鎖している様でしたので、魚拓サイトを使って事件のヒントを探していきます。
まず目についたのが、 Webページの更新頻度です。人気アーティストだけあって、2011年~頻繁にショップ情報が更新されている事が分かります。
侵害が判明したのは10/15なので、それより少し前のページのソースコードを見てみたのですが、どういった構築をしているのか分かりませんでした。(EC-CUBE証跡を確認できず)
しかし、URL構成に見覚えがある部分が出てきたので少し調べてみると、会員登録のページのURL(****/mypage/login.php)だったり、
会員登録の規約ページ(****/entry/kiyaku.php)は明らかに「EC-CUBE2系」の特徴がありました。
念のため規約内容のDIFF(差分)を確認してみましたが、2系のソレとほぼ同じでした。(一部用語に差分があった程度です)
むしろ、こちらの方が分かりやすいEC-CUBEの証跡と言えるのですが、もう1点。魚拓データから判明した事があります。
特定商取引表示にサイトの運営会社情報(バークレイグローバルコンサルティング&インターネット株式会社)が掲載されていました。
こちらの会社の実績ページを確認すると、、、LDHのHP制作を一手に引き受けている事がよく分かります。
今回被害を受けた「EXILE TRIBE STATION」のWeb制作については、2016年9月に制作したと書かれています。
実績ページには、EC-CUBEで構築したとまでは書かれていないのですが、この会社のサポートするECサイト構築パッケージが掲載されていたので確認してみると・・・
上記の状況から考えると、EC-Gateを利用して「EXILE TRIBE STATION ONLINE SHOP」が構築されていたと思われます。
EC-CUBEそのものの構成では無かったので、EC-CUBEの痕跡としてのJavaScriptファイルの確認は出来ませんでしたが、その他の多くの証跡からEC-CUBE2系を使っていた可能性が高いと思います。Web制作会社がECゲート(EC-CUBE)の制作時期を2016年9月としている事から、EC-CUBEv2.13を利用していた可能性が高いかと思います。
※Twitter上にてTURU氏よりv2.13ではなく「v2.12」であるとのご指摘を頂きました。当方の知見不足で、ご指摘頂いた「bundle.min.js」におけるv2.12ファイルのJS呼び出し箇所をコード成型ツールで見ても確認できませんでしたが、制作時期からその時点の最新版であるv2.13を使用していると推定した内容が間違っているとのご指摘でしたので、ブログでの記載内容を一部修正致します。ご指摘ありがとうございました。(12/9 PM)
大手芸能プロダクションであるLDHですので、当然の事ながら多層防御を考えた上で、2系を利用していたのかと思いますが、大手芸能プロダクションが今年後半になって2サイト侵害を受けた事を考えると、他プロダクションでも、脆弱性(多層防御の穴)を抱えているサイトは案外多いかも知れません。
■EC-CUBEバージョンの推定表
| リリース日 |
バージョン |
| 2007/12/4 |
EC-CUBEv2.0リリース |
| 2008/4/10 |
EC-CUBEv2.1リリース |
| 2008/10/1 |
EC-CUBEv2.3リリース |
| 2009/5/19 |
EC-CUBEv2.4リリース |
| 2011/3/23 |
EC-CUBEv2.11リリース
|
| 2012/5/24 |
EC-CUBEv2.12リリース
|
| 2013/9/19 |
EC-CUBEv2.13リリース
▲EXILE TRIBE STATION ONLINE SHOPの推定利用バージョン
※v2.12との外部からのご指摘有(12/9 PM追記)
|
| 2015/7/1 |
EC-CUBEv3リリース |
|
2018/10/11
|
EC-CUBEv4リリース
|
| 2019/10/29 |
EC-CUBEv2.17リリース |
| 2019/12/20 |
経産省注意喚起 |
| 2019/12/23 |
EC-CUBE注意喚起 |
余談です。上記のWeb制作会社の「実績ページ」 を見ると、結構な数のサイトが掲載されています。中にはLDHオフィシャルクレジットカードのページ等も含まれている事を考えると、LDHとしては関連サイトを総点検すべきだと思いますし、掲載されている他サイトも十分に警戒すべきです。(ECサイトらしきサイトもいくつも見受けられます)
また、今回のフォレンジック調査で判明しなかったものの、非常に気になる点が公式発表にさらっと書かれています。
なお、第三者調査機関によるログファイル等の調査の結果、個人情報が格納されたサーバが不正アクセスを受けたことは明らかになったものの、漏洩の件数は特定できませんでした。
また、弊社におきましては、現時点では上記のクレジットカード情報以外の個人情報の漏洩は確認されておりません。
(公式発表より引用)
今回の侵害期間外に、過去にオンラインショップを利用した方の個人情報が(どれだけ保管されていたかは分かりませんが)漏えいした可能性を示唆する内容です。EC-CUBEを使ってのサイト運用が2016年からだったとして、それ以降の会員登録データの多くが漏えいしてしまった・・・その可能性も十分に考えられるのではないでしょうか。
※その場合、かなり大型な個人情報漏えい事件となるかと思われます。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
