「緑のおとどけ便」もEC-CUBE

動物病院の飼い主用限定サイトの「森のおとどけ便」が不正アクセスを受け、カード情報が漏えいしていた可能性があると発表されていました。

www2.uccard.co.jp

公式発表

・弊社が運営する「森のおとどけ便」への不正アクセスによる個人情報流出に関するお詫びとお知らせ（魚拓）

2.　個人情報流出状況
（１）原因
弊社が運営する「森のおとどけ便」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス
（２）個人情報流出の可能性があるお客様
2019年7月9日～2020年7月30日の期間中に「森のおとどけ便」においてクレジットカード決済をされたお客様270名で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

（公式発表より引用）

キタきつねの所感

昨日記事を書いた「てとて、ぺっとのごはん」と運営事業者（株式会社グリーンフォレスト）が同じでしたので、まとめて記事を書けば良かったのですが、詳細調査をしている時間が無かったのでご容赦下さい。

f:id:foxcafelate:20210220070853p:plain

緑の森どうぶつ病院は旭川と札幌に4拠点あるので、カード情報が漏えいした方の多くが北海道居住でどうぶつ病院に通われている飼い主だったと推測されます。

結論から言うと、こちらのサイトでもEC-CUBEv2.13を利用していた様です。

こちらのサイトでも、現在カード決済は停止されていますが、サイト自体は生きていたので、トップページを確認すると、馴染みなJavaScript呼び出しがありました。

f:id:foxcafelate:20210220071225p:plain

site.jpを開いてみると、運営事業者が同じという事で、そうであろうと予想はしていましたが、EC-CUBEの痕跡を確認しました。

Copyrightが”2000-2013”ですので、EC-CUBEのｖ2.13.0又はｖ2.13.1を利用していたと推定されます。※EC-CUBE2系のリリースノート

※魚拓サイトを調べてみたのですが、残念ながら侵害期間中（2019年7月9日～2020年7月30日）のデータは保存されていませんでした。

f:id:foxcafelate:20210220071326p:plain

侵害時期（2019年7月9日～2020年7月30日）は、昨日記事を書いた「てとて、ぺっとのごはん」とまったく同じです。

※まったく同じ侵害時期と言う事なので、攻撃者が同一であり、関連サイトの同一脆弱性を狙ってきたのだと推測します。「てとて、ぺっとのごはん」のHPには以下のリンクがあったので、攻撃者が事前偵察の際に、こうしたリンク情報を参考にしていたのだと思います。

f:id:foxcafelate:20210220072412p:plain

侵害時期を下記の簡易推定表に入れてみると、2019年末の注意喚起に気づいていれば、被害が軽減（単純試算で半分）されていた可能性があり、経産省の異例の注意喚起（2019年12月）やEC-CUBE開発元である、EC-CUBE社の注意喚起（2019年5月/12月）が、サイト運営者（運営委託会社）に「届かなかった」という事になります。

特に2系ユーザーは、小さなECサイトであっても、ここ数年集中的にハッカーに狙われていますので、上記のEC-CUBEの注意喚起、チェックリスト、無償の脆弱性診断告知などをご覧の上、自社のECサイトに脆弱性が無いかを確認される事を強くお勧めします。

■EC-CUBEバージョンの推定表

リリース日	バージョン
2007/12/4	EC-CUBEv2.0リリース
2008/4/10	EC-CUBEv2.1リリース
2008/10/1	EC-CUBEv2.3リリース
2009/5/19	EC-CUBEv2.4リリース
2011/3/23	EC-CUBEv2.11リリース
2012/5/24	EC-CUBEv2.12リリース
2013/9/19	EC-CUBEv2.13リリース ▲緑のおとどけ便の推定利用バージョン
2015/7/1	EC-CUBEv3リリース
2018/10/11	EC-CUBEv4リリース
2019/7/9～2020/7/30	▲緑のおとどけ便が侵害を受けていた時期
2019/10/29	EC-CUBEv2.17リリース
2019/12/20	経産省注意喚起
2019/12/23	EC-CUBE注意喚起