Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「那須ラスクテラス」もEC-CUBE

那須街道にあるラスク専門店のオンラインショップ不正アクセスを受け、カード情報が漏えいしていた可能性があると発表されていました。

www.rakuten-card.co.jp

 

公式発表

弊社が運営する「那須ラスクテラス」HPへの不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 

 2.個人情報漏洩状況
(1)原因
 弊社が運営する「那須ラスクテラス」のHPシステムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩の可能性があるお客様
 2019年10月26日~2020年11月9日の期間中に「那須ラスクテラス」のHPにおいてクレジットカード決済をされたお客様192名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

(公式発表より引用)

 

キタきつねの所感

ソフトクリームとラスクというのは絶妙な組み合わせで、自然豊かな那須の空気感は無くても、家でも試してみたいという方は多いかと思います。

今回不正アクセス被害を受けた那須ラスクテラスのオンラインショップは、カード決済は停止していましたがサイトは営業していましたので、比較的簡単に「システムの一部の脆弱性についての簡易調査ができました。どうやらEC-CUBEv2.13を利用していた様です。

f:id:foxcafelate:20210209051736p:plain

 

EC-CUBEの痕跡が出やすい会員登録のページを確認してみると、そのソースコードに、

f:id:foxcafelate:20210209052344p:plain

 

v2.13特有のコメントアウト(緑色)を確認しました。

f:id:foxcafelate:20210209052300p:plain

 

JS開いてみると、痕跡が出てきました。

f:id:foxcafelate:20210209052725p:plain

 

EC-CUBE2系のどういった脆弱性を突かれて不正アクセスを受けてしまったか、(インシデント発表があった際は既に対策済である事がほとんどなので)外側から推測する事は難しいのですが、EC-CUBE「意図しないディレクトリ・ファイルの露出」が原因になっている事が多いと解説しています。

www.ec-cube.net

 

それ以外にも、(上記リストにも書かれていますが)管理者画面アクセスの保護(容易に推測できるURL、IP制限なし)について脆弱性を抱えているサイトが多いかと思います。

※たまにEC-CUBEサイトの調査をするのですが、ざっと3割のサイトで管理者画面の脆弱性を見かけます。

 

特に2系ユーザーは、小さなECサイトであっても、ここ数年集中的にハッカーに狙われていますので、上記のEC-CUBEの注意喚起チェックリスト、無償の脆弱性診断告知などをご覧の上、自社のECサイト脆弱性が無いかを確認される事を強くお勧めします

 

EC-CUBEバージョンの推定表

リリース日 バージョン
2007/12/4 EC-CUBEv2.0リリース
2008/4/10 EC-CUBEv2.1リリース
2008/10/1 EC-CUBEv2.3リリース
2009/5/19 EC-CUBEv2.4リリース
2011/3/23

EC-CUBEv2.11リリース

2012/5/24

EC-CUBEv2.12リリース

2013/9/19

EC-CUBEv2.13リリース

那須ラスクテラスの推定利用バージョン

2015/7/1 EC-CUBEv3リリース

2018/10/11

EC-CUBEv4リリース

2019/10/26~2020/11/9

那須ラスクテラスが侵害を受けていた時期
2019/10/29 EC-CUBEv2.17リリース 
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ラスクのイラスト

 

更新履歴

  • 2021年2月9日 AM