「OVERCLOCK WORKS」もEC-CUBE

PCパーツ等を取り扱うOVERCLOCK WORKSが不正アクセスを受けカード情報が流出した可能性がある事を発表していました。

公式発表

・弊社が運営する「OVERCLOCK WORKS」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

2.個人情報流出状況

(1)原因

　弊社が運営するECサイト「OVERCLOCK WORKS」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス

(2)個人情報流出の可能性があるお客様

2019年6月18日～2020年7月3日の期間中にECサイト「OVERCLOCK WORKS」においてクレジットカード決済をされたお客様714名で、流出した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

（公式発表より引用）

キタきつねの所感

2020年のカード情報漏えい事件の発表に関して、一部集計漏れがあるかと思いますが、発表件数ベースでは去年を既に超えて55件に達しています。

foxestar.hatenablog.com

※手元の集計では2019年は52件（漏えい件数が約30万件）

累計漏えい件数は、このままのペースで行けば10万件を下回りそうですので、漏えい規模が小さな攻撃が多かったという事になるのかと思います。簡易集計ですが約70%がEC-CUBE利用サイトとなっており、ここ3年程、集中的にEC-CUBE2系が攻撃を受けている事が分かります。

攻撃の手口については、「システムの一部の脆弱性をついたことによる第三者の不正アクセス」という、その内容がまったく分からない発表で良しする（誰もそれ以上突っ込まない）業界の悪しき風習があるので推測の域を出ませんが、イーシーキューブ社の注意喚起を見る限りは、比較的単純なミスを攻められていると思われます。

www.ec-cube.net

※海外ECサイトの侵害で多いMageCart（APT）攻撃手法とは言えない、単純な脆弱性を突かれたケースが多い様です。

この推測が合っているとすると、同じ様な単純な脆弱性がそこら中のECサイトで放置されている可能性が高いと言え、ECサイト管理者（サイト制作会社・運営会社）が、「脆弱性」情報＝パッチ当てに対して意識が薄すぎる点を、（初心者レベルの）ハッカーが同じパターンで攻撃してきている構図が浮かび上がってきます。

余談が長くなりましたが、OVERCLOCK WORKSのサイトを見ると、すぐにEC-CUBEを利用している事が分かりました。

事件を受けての公式発表（お詫びとお知らせ）のソースから、eccubeのCSRF トークンを利用している事が分かりましたが、侵害を受けていた期間の魚拓サイトを調べてみます。

f:id:foxcafelate:20201224093428p:plain

2020年5月25日の魚拓データがあったのでこちらを見ていきますと、EC-CUBE（2系）利用サイトでよく見るJS呼び出しが確認できました。

f:id:foxcafelate:20201224093717p:plain

こちらの１つを開いてみると、EC-CUBEファイルが見つかりました。コピーライトの2011年からEC-CUBE v2.11だった事が推定されます。

f:id:foxcafelate:20201224093826p:plain

時系列を推定表に入れて確認してみると、昨年末の経産省の異例の注意喚起を受けてOVERCLOCK WORKS側が対応（※脆弱性が無いか再確認し、最新バージョンへ更新）していれば、被害は防げなかったとしても、影響範囲を抑えられた可能性が高い気がします。

■EC-CUBEバージョンの推定表

リリース日	バージョン
2007/12/4	EC-CUBEv2.0リリース
2008/4/10	EC-CUBEv2.1リリース
2008/10/1	EC-CUBEv2.3リリース
2009/5/19	EC-CUBEv2.4リリース
2011/3/23	EC-CUBEv2.11リリース ▲OVERCLOCK WORKSの推定利用バージョン
2012/5/24	EC-CUBEv2.12リリース
2013/9/19	EC-CUBEv2.13リリース
2015/7/1	EC-CUBEv3リリース
2018/10/11	EC-CUBEv4リリース
2019/6/18～2020/7/3	▲OVERCLOCK WORKSが侵害を受けていた時期
2019/10/29	EC-CUBEv2.17リリース
2019/12/20	経産省注意喚起
2019/12/23	EC-CUBE注意喚起