Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「HUES ONLINE」もEC-CUBE

クレジットカード情報漏えい事件 不正アクセス事件 調べてみた。 PCI DSS

福岡天神のメンズセレクトショップHUESが不正アクセスを受け、カード情報が漏えいしていた可能性があると発表されていました。

www2.uccard.co.jp

 

公式発表

弊社が運営する「HUES ONLINE」への不正アクセスによる 個人情報流出に関するお詫びとお知らせ (魚拓

 (1)原因

弊社が運営する「HUES ONLIME」のシステムの一部の脆弱性をついたことによる第三者不正アクセス

(2)個人情報流出の可能性があるお客様

2020年2月9日~2020年10月14日の期間中に「HUES ONLINE」においてクレジットカード決済をされたお客様536名で、流出した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(公式発表より引用)

 

キタきつねの所感

福岡天神のメンズセレクトショップは、8か月で500人以上が利用していたという事から考えると、ECサイトとしても人気があった様です。

f:id:foxcafelate:20210218050604p:plain

 

今回不正アクセス被害を受けたサイトは、現在は停止しているので魚拓サイトを使って調査してみましたが、結論から言うとEC-CUBEv2.13を利用していた様です。

 

魚拓サイトで侵害を受けた期間中の2020/9/20の魚拓が見つかりましたのでこちらを使って調べてみます。

※下のキャプチャーのLogin部分を調査(現在はサイト閉鎖中なので表示されていません)

f:id:foxcafelate:20210218051836p:plain

 

 会員登録のページを更に調べていきます。

f:id:foxcafelate:20210218052226p:plain

 

このページのソースを見ると、馴染み深いJS(JavaScript)呼び出し部分が出てきました。

f:id:foxcafelate:20210218052409p:plain

 

こちらのファイル(site.js)を開いてみると、EC-CUBE(2系)の痕跡を確認できました。2013年のCopyright表記から、v2.13を利用していた事が分かります。

f:id:foxcafelate:20210218052543p:plain

 

侵害された時期が、2020年2月以降ですので、経産省異例の注意喚起(2019年12月)やEC-CUBE開発元である、EC-CUBE社の注意喚起(2019年5月/12月)が、HUES ONLINEサイト運営者(運営委託会社)に「届かなかった」という事になります。

 

また、魚拓サイトの履歴を見る限り、HUES ONLINE(ECサイト)が立ち上ったのは2014年だと推測されるのですが、この時点で「v2.13(Copyright=2013年)」が確認できます。

つまり、HUES ONLINEはECサイトを立ち上げてから、6年間一切EC-CUBEをバージョンアップしていなかったと推測されます。

 

「システムの一部の脆弱性が何であったのかは、公式発表には一切触れられていませんし、魚拓サイト調査からは分かりませんが、多くの他のカード情報を漏えいしたECサイト同様に、ECサイト側がセキュリティ対策を軽視している”姿勢”がバージョンアップをしない事に現れており、そこを攻撃者に付け込まれた気がしてなりません。

 

f:id:foxcafelate:20210218053414p:plain

※EC-CUBE2系のリリース時期からCopyrightが2013年の場合はv2.13.0又はv2.13.1、2014年の場合は2.13.2を利用していたと推定できます。

 

特に2系ユーザーは、小さなECサイトであっても、ここ数年集中的にハッカーに狙われていますので、上記のEC-CUBEの注意喚起チェックリスト、無償の脆弱性診断告知などをご覧の上、自社のECサイト脆弱性が無いかを確認される事を強くお勧めします

 

EC-CUBEバージョンの推定表

リリース日 バージョン
2007/12/4 EC-CUBEv2.0リリース
2008/4/10 EC-CUBEv2.1リリース
2008/10/1 EC-CUBEv2.3リリース
2009/5/19 EC-CUBEv2.4リリース
2011/3/23

EC-CUBEv2.11リリース
2012/5/24

EC-CUBEv2.12リリース
2013/9/19

EC-CUBEv2.13リリース

▲HUES ONLINEの推定利用バージョン
2015/7/1 EC-CUBEv3リリース

2018/10/11

EC-CUBEv4リリース
2019/10/29 EC-CUBEv2.17リリース 
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起

2020/2/9~2020/10/14

 ▲HUES ONLINEが侵害を受けていた時期

 

余談です。魚拓サイトで調べると、現在のHuesの前身(ユーズ・コーポレーション)がいわゆる”家電屋”さんだった事が分かります。

2000年に魚拓が残っていましたのが、懐かしさを感じるWeb画面が出てきました。現在のセレクトショップは2014年頃にECサイトが立ち上がっていますので、業態を変えたのはこの頃の様です。

f:id:foxcafelate:20210218044951p:plain

 

現在とは会社は違っていますが(問い合わせメールやドメインが同じですが)、前身の「ソニーショップ ヒューズ」の頃にHPに掲げていた「お客様の信頼を絶対に裏切りません」を、(余計なお世話ですが)セキュリティ面にもう少し気を付けて実践してもらいたいものです。

f:id:foxcafelate:20210218045408p:plain

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 洋服屋のイラスト

 

更新履歴

  • 2021年2月18日 AM