那須街道にあるラスク専門店のオンラインショップが不正アクセスを受け、カード情報が漏えいしていた可能性があると発表されていました。
www.rakuten-card.co.jp
公式発表
・弊社が運営する「那須ラスクテラス」HPへの不正アクセスによる個人情報漏洩に関するお詫びとお知らせ
2.個人情報漏洩状況
(1)原因
弊社が運営する「那須ラスクテラス」のHPシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩の可能性があるお客様
2019年10月26日~2020年11月9日の期間中に「那須ラスクテラス」のHPにおいてクレジットカード決済をされたお客様192名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
キタきつねの所感
ソフトクリームとラスクというのは絶妙な組み合わせで、自然豊かな那須の空気感は無くても、家でも試してみたいという方は多いかと思います。
今回不正アクセス被害を受けた那須ラスクテラスのオンラインショップは、カード決済は停止していましたがサイトは営業していましたので、比較的簡単に「システムの一部の脆弱性」についての簡易調査ができました。どうやらEC-CUBEv2.13を利用していた様です。
EC-CUBEの痕跡が出やすい会員登録のページを確認してみると、そのソースコードに、
v2.13特有のコメントアウト(緑色)を確認しました。
JS開いてみると、痕跡が出てきました。
EC-CUBE2系のどういった脆弱性を突かれて不正アクセスを受けてしまったか、(インシデント発表があった際は既に対策済である事がほとんどなので)外側から推測する事は難しいのですが、EC-CUBEは「意図しないディレクトリ・ファイルの露出」が原因になっている事が多いと解説しています。
www.ec-cube.net
それ以外にも、(上記リストにも書かれていますが)管理者画面アクセスの保護(容易に推測できるURL、IP制限なし)について脆弱性を抱えているサイトが多いかと思います。
※たまにEC-CUBEサイトの調査をするのですが、ざっと3割のサイトで管理者画面の脆弱性を見かけます。
特に2系ユーザーは、小さなECサイトであっても、ここ数年集中的にハッカーに狙われていますので、上記のEC-CUBEの注意喚起、チェックリスト、無償の脆弱性診断告知などをご覧の上、自社のECサイトに脆弱性が無いかを確認される事を強くお勧めします。
■EC-CUBEバージョンの推定表
| リリース日 |
バージョン |
| 2007/12/4 |
EC-CUBEv2.0リリース |
| 2008/4/10 |
EC-CUBEv2.1リリース |
| 2008/10/1 |
EC-CUBEv2.3リリース |
| 2009/5/19 |
EC-CUBEv2.4リリース |
| 2011/3/23 |
EC-CUBEv2.11リリース
|
| 2012/5/24 |
EC-CUBEv2.12リリース
|
| 2013/9/19 |
EC-CUBEv2.13リリース
▲那須ラスクテラスの推定利用バージョン
|
| 2015/7/1 |
EC-CUBEv3リリース |
|
2018/10/11
|
EC-CUBEv4リリース
|
|
2019/10/26~2020/11/9
|
▲那須ラスクテラスが侵害を受けていた時期 |
| 2019/10/29 |
EC-CUBEv2.17リリース |
| 2019/12/20 |
経産省注意喚起 |
| 2019/12/23 |
EC-CUBE注意喚起 |
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴