麦茶で有名な石垣食品の子会社 新日本機能食品のECサイト「kenko.卸.com」が不正アクセスを受け、カード情報が漏えいしていた可能性があると発表されていました
www.jiji.com
石垣食品は25日、子会社の新日本機能食品(岡山市)が運営する通信販売サイト「Kenko 卸.com」が不正アクセスを受け、顧客224人分のクレジットカード情報が流出し、一部で不正利用された恐れがあると発表した。同社が不正利用の件数や被害総額を調査している。
(JIJI.COM記事より引用)
公式発表
・弊社が運営する「Kenko卸.com」への不正アクセスによる個人情報流出に関するお詫びとお知らせ (魚拓)
キタきつねの所感
早速、石垣食品の子会社が運営する「Kenko卸.com」の、侵害を受けた時期(2019年10月21日~2020年10月9日)の魚拓サイトを使って確認していきます。
2020年9月22日の魚拓データありましたので、こちらを見てみると、
トップページのソースにEC-CUBEの痕跡がありました。
結論から書くと、こちらのサイトでもEC-CUBEv2.13を利用していた様です。
eccube.js(2系の詳細痕跡)は残念ながら魚拓サイトにデータが残っていませんでしたが、EC-CUBEのJS読み出し(v2.13特有の緑のコメントアウト)がありましたので、侵害を受けた時点ではv2.13を利用していたと推定されます。
公式発表にある侵害時期を下記の簡易推定表に入れてみると、2019年末の注意喚起に気づいていれば、被害が軽減されていた可能性があり、経産省の異例の注意喚起(2019年12月)やEC-CUBE開発元である、EC-CUBE社の注意喚起(2019年5月/12月)が、サイト運営者(運営委託会社)に「届かなかった」という事になります。
特に2系ユーザは、小さなECサイトであっても、ここ数年集中的にハッカーに狙われていますので、上記のEC-CUBEの注意喚起、チェックリスト、無償の脆弱性診断告知などをご覧の上、自社のECサイトに脆弱性が無いかを確認される事を強くお勧めします。
■EC-CUBEバージョンの推定表
| リリース日 |
バージョン |
| 2007/12/4 |
EC-CUBEv2.0リリース |
| 2008/4/10 |
EC-CUBEv2.1リリース |
| 2008/10/1 |
EC-CUBEv2.3リリース |
| 2009/5/19 |
EC-CUBEv2.4リリース |
| 2011/3/23 |
EC-CUBEv2.11リリース
|
| 2012/5/24 |
EC-CUBEv2.12リリース
|
| 2013/9/19 |
EC-CUBEv2.13リリース
▲Kenko卸.comの推定利用バージョン
|
| 2015/7/1 |
EC-CUBEv3リリース |
|
2018/10/11
|
EC-CUBEv4リリース
|
|
2019/10/21~2020/10/9
|
▲Kenko卸.comが侵害を受けていた時期 |
| 2019/10/29 |
EC-CUBEv2.17リリース |
| 2019/12/20 |
経産省注意喚起 |
| 2019/12/23 |
EC-CUBE注意喚起 |
余談です。現在の「Kenko卸.com」のサイトは生きているので、脆弱性対策済の様です。公式発表の再発防止策を見ると、この点について書かれていました。「リニューアルサイト」となっている様ですので、こちらも少し調べてみました。
トップページのソースコードを確認すると、EC-CUBE呼び出しがありました。
別系を使ってリニューアルした様です。2系のソレとは違い、Copyrightの年号からバージョン推定が難しい様です。
新規会員登録のページもチェックしてみます。
この中で、気になったのが「西梅田1丁目6-8」の例示です。
開発元であるイーシーキューブ社は現在「大阪市北区梅田2-4-9ブリーゼタワー」に本社があるので、少し前の”例示”であると考えられます。
※2系の住所例示では「東京都千代田区神田神保町1-3-5」がよく使われていますが、ロックオン社(現イルグルム社)の東京支社が当時ここにあった事から例示に使われていたのだと思います。
このワードを使って検索してみるとEC-CUBE4.0開発者向けドキュメントがヒットし、差分比較のデータに「西梅田1丁目6-8」が出てくる事を考えると、EC-CUBE v4に移転した様です。
※Google検索では4系しかヒットしません。
もっと簡単に3系や4系のバージョンを見分ける方法がありそうな気がしますが、ご容赦下さい。
今年に入ってのカード情報侵害事件は下記をご覧頂ければと思いますが、去年一昨年も含め、これだけv2.13(以前)が侵害を受けているという事は、それだけv2.13(2系)が優れたバージョンであった事を示唆しています。
しかし、あまりにも使い勝手が良いバージョンであったからとも言えそうですが、利用ユーザがパッチ当て等を考慮せずに導入したままのバージョンで使い続けている所を、ハッカー(攻撃者)に集中的に狙われているのは非常に残念です。
EC-CUBE2系が狙われ始めてから(インシデント発表が増加して)、2年以上経過しています。そろそろ2系ユーザは「気づいてほしい」。
毎回の様に警鐘記事を書いている立場として、切にそう願います。
foxestar.hatenablog.com
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴