Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「てとて、ぺっとのごはん」もEC-CUBE

北海道産の食材を使った動物病院が開発したペット用のごはんやおやつを販売する「てとて、ぺっとのごはん」が不正アクセスを受け、カード情報が漏えいしていた可能性があると発表されていました。

www.rakuten-card.co.jp

 

公式発表

弊社が運営する「てとて、ぺっとのごはん」への不正アクセスによる 個人情報流出に関するお詫びとお知らせ (魚拓

2. 個人情報流出状況
(1)原因
弊社が運営する「てとて、ぺっとのごはん」のシステムの一部の脆弱性をついたことによる第三者不正アクセス
(2)個人情報流出の可能性があるお客様
2019年7月9日~2020年7月30日の期間中に「てとて、ぺっとのごはん」においてクレジットカード決済をされたお客様147名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

(公式発表より引用)

 

キタきつねの所感

北海道産の魚やえぞ鹿肉を使ったペットフード、2020年の犬と猫の飼育頭数の合計が1,813万頭(犬848万頭、猫964万頭)と、単純試算で約3割の世帯で犬や猫が飼われている事を考えると、グルメなペットのごはんやおやつに大きな需要がある事がよく分かります。

※因みに2018年の15歳未満の子供の数が1,553万人でしたのでペットは子供の数より多くなっています。

 

f:id:foxcafelate:20210220070924p:plain

一時期、道民だった時期もあるので、個人的には旭川の(道産食材を扱う)お店が不正アクセス被害を受けたのが残念なのですが、調べてみると、やはり”パッチ当て”(※又は緩和策としての追加セキュリティ対策)に問題があった様に思えます

結論から書くとEC-CUBEv2.13を利用していた様です。

 

当該サイトでは、現在カード決済は停止されていますが、サイトは生きていたのでこちらを見てみると、会員登録ページに痕跡がありました。

f:id:foxcafelate:20210220060410p:plain

 

ソースコードを見ると、馴染みのコメントアウト(緑色部分)が見つかりました。これでv2.13の利用が確定しますが、eccube.jsを開き、copyright部分を確認します。

f:id:foxcafelate:20210220060552p:plain

 

Copyrightが”2000-2013”ですので、EC-CUBEv2.13.0又はv2.13.1を利用していたと推定されます。※EC-CUBE2系のリリースノート

※現在のサイトだけでなく、侵害期間中(2020/5/14)のサイトについても魚拓サイトを使ってv2.13が使われていた(同様だった)事を確認しました。

f:id:foxcafelate:20210220060752p:plain

 

侵害時期(2019年7月9日~2020年7月30日)を下記の簡易推定表に入れてみると、2019年末の注意喚起に気づいていれば、被害が軽減(単純試算で半分)されていた可能性があり、経産省異例の注意喚起(2019年12月)やEC-CUBE開発元である、EC-CUBE社の注意喚起(2019年5月/12月)が、サイト運営者(運営委託会社)に「届かなかった」という事に歯がゆさを感じます。

 

特に2系ユーザーは、小さなECサイトであっても、ここ数年集中的にハッカーに狙われていますので、上記のEC-CUBEの注意喚起チェックリスト、無償の脆弱性診断告知などをご覧の上、自社のECサイト脆弱性が無いかを確認される事を強くお勧めします

 

EC-CUBEバージョンの推定表

リリース日 バージョン
2007/12/4 EC-CUBEv2.0リリース
2008/4/10 EC-CUBEv2.1リリース
2008/10/1 EC-CUBEv2.3リリース
2009/5/19 EC-CUBEv2.4リリース
2011/3/23

EC-CUBEv2.11リリース

2012/5/24

EC-CUBEv2.12リリース

2013/9/19

EC-CUBEv2.13リリース

▲てとて、ぺっとのごはんの推定利用バージョン

2015/7/1 EC-CUBEv3リリース

2018/10/11

EC-CUBEv4リリース

2019/7/9~2020/7/30

▲てとて、ぺっとのごはんが侵害を受けていた時期
2019/10/29 EC-CUBEv2.17リリース 
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起

 

余談です。 「てとて、ぺっとのごはん」サイトは魚拓サイトで見る限り、2014年に開店している様です。

f:id:foxcafelate:20210220062600p:plain

 

2014年時点でv2.13の痕跡が確認できますので、他の侵害されたECサイトと同様に、「開店時」に導入したEC-CUBEを6年間バージョンアップしてなかった、という事になります。

f:id:foxcafelate:20210220062704p:plain

 

EC-CUBEのインシデントをここ数年追いかけていますが、v2.13利用のECサイトの被害が非常に多いです。裏を返せば2系(v2.13)は、それだけ多くの方に利用される優れたバージョン(しかも無料)だったと言えます。

一方で攻撃者視点で考えると、多くの利用者が存在し(攻撃対象が多く)多くの利用者がバージョンアップせず脆弱性があり)開発元の注意喚起や他ECサイトのインシデント記事も見ないECサイト運営者が脆弱性をウォッチしてない)という、攻撃するには”最適”な環境のままで居続けています。

カード情報漏えい件数で見ると小規模な漏えいインシデントが多いものの、カード情報を確実に窃取できる攻撃先としてEC-CUBE2系(v2.13以下)が認知されている気がしてなりません。

残念ながら、今年もEC-CUBE2系ユーザーからのインシデント報告が多く出てくると思います。

 

参考:

foxestar.hatenablog.com

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 猫のオヤツのイラスト

 

更新履歴