熊本のセレクトショップMEMPHIS STOREが不正アクセスを受けカード情報が漏えいしていた可能性があると発表されました。
www.rakuten-card.co.jp
公式発表
・弊社が運営する「MEMPHIS STORE」への不正アクセスによる個人情報流出に関するお詫びとお知らせ
2.個人情報流出状況
(1)原因
弊社が運営する「MEMPHIS STORE」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス
(2)個人情報流出の可能性があるお客様
2019年6月11日~2020年7月10日の期間中に「MEMPHIS STORE」においてクレジットカード決済をされたお客様211名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
キタきつねの所感
昨日もカード情報漏えい事件を取り上げましたが、この手の発表をコントロールしているカード会社や決済代行会社等も御用納めを前に公表をまとめているのかも知れません。
侵害を受けた熊本のセレクトショップのHPを見ると、被害を受けたオンラインストアは現在閉鎖されている様です。
しかし魚拓サイトの方には、侵害期間中ではありませんが、4/29のデータが残っていましたのでこちらを見てみます。
ソースコードには、EC-CUBE v2.13に特有のコメントアウトが残っていましたので、v2.13を使っていた可能性が高い様です。
念のため、JSファイルを開き、EC-CUBE(v2.13)痕跡を確認しました。
時系列確認の為、推定表に当てはめてみると、昨日記事で取り上げた「OVERCLOCK WORKS」と侵害期間(2019/6/18~2020/7/3)がほぼ同じなので、同じ攻撃者による攻撃だった可能性も考えられます。
■EC-CUBEバージョンの推定表
| リリース日 |
バージョン |
| 2007/12/4 |
EC-CUBEv2.0リリース |
| 2008/4/10 |
EC-CUBEv2.1リリース |
| 2008/10/1 |
EC-CUBEv2.3リリース |
| 2009/5/19 |
EC-CUBEv2.4リリース |
| 2011/3/23 |
EC-CUBEv2.11リリース
|
| 2012/5/24 |
EC-CUBEv2.12リリース
|
| 2013/9/19 |
EC-CUBEv2.13リリース
▲MEMPHIS STOREの推定利用バージョン
|
| 2015/7/1 |
EC-CUBEv3リリース |
|
2018/10/11
|
EC-CUBEv4リリース
|
| 2019/6/11~2020/7/10 |
▲MEMPHIS STOREが侵害を受けていた時期 |
| 2019/10/29 |
EC-CUBEv2.17リリース |
| 2019/12/20 |
経産省注意喚起 |
| 2019/12/23 |
EC-CUBE注意喚起 |
昨日も書きましたが、EC-CUBEはここ3年程、集中的に狙われています。2020年のカード情報漏えいの発表の内、約7割がEC-CUBE利用サイトからのカード情報漏えいです。
被害が多いからと言って、EC-CUBE(2系)を使っている事が悪い事という訳ではありませんし、セキュアな運用をしているECサイトも数多くいます。
しかし、多くのECサイトが使いたくなる人気のフレームワークであるという事は、外部の攻撃者がその脆弱性を常に狙う対象であり、対策が不十分だと(放置していると)被害を受けてしまう可能性が高い事を、サイト運営者や制作会社(運営委託会社)は十分に認識すべきかと思います。
1年前のこの時期(12/20)に経産省(METI)が個別のパッケージに対して出す事があまりない、「異例の注意喚起」を出しました。
しかし残念ながら1年経っても、この注意喚起の内容に対応できてないサイトが多い様です。それが昨年よりもカード情報漏えい事件(発表)件数が上回った事に表れている気がしてなりません。
www.meti.go.jp
EC-CUBEを利用しているサイト事業者は、以下のイーシーキューブ社の注意喚起、チェックリスト、そして無償の診断サービス等を自社のECサイトが対応済なのかどうか、今一度確認する事が”来年”に向けて重要かと思います。
www.ec-cube.net
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
