Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「kenko卸.com」もEC-CUBE

PCI DSS クレジットカード情報漏えい事件 不正アクセス事件 調べてみた。

麦茶で有名な石垣食品の子会社 新日本機能食品のECサイトkenko.卸.com」が不正アクセスを受け、カード情報が漏えいしていた可能性があると発表されていました

www.jiji.com

石垣食品は25日、子会社の新日本機能食品(岡山市)が運営する通信販売サイト「Kenko 卸.com」が不正アクセスを受け、顧客224人分のクレジットカード情報が流出し、一部で不正利用された恐れがあると発表した。同社が不正利用の件数や被害総額を調査している。

(JIJI.COM記事より引用)

 

公式発表

弊社が運営する「Kenko卸.com」への不正アクセスによる個人情報流出に関するお詫びとお知らせ (魚拓

f:id:foxcafelate:20210226051953p:plain

 

キタきつねの所感

早速、石垣食品の子会社が運営するKenko卸.com」の、侵害を受けた時期(2019年10月21日~2020年10月9日)の魚拓サイトを使って確認していきます。

2020年9月22日の魚拓データありましたので、こちらを見てみると、

f:id:foxcafelate:20210226061452p:plain

 

トップページのソースにEC-CUBEの痕跡がありました。

f:id:foxcafelate:20210226061544p:plain

 

結論から書くと、こちらのサイトでもEC-CUBEv2.13を利用していた様です。

 

eccube.js(2系の詳細痕跡)は残念ながら魚拓サイトにデータが残っていませんでしたが、EC-CUBEのJS読み出し(v2.13特有の緑のコメントアウト)がありましたので、侵害を受けた時点ではv2.13を利用していたと推定されます。

f:id:foxcafelate:20210226062019p:plain

 

公式発表にある侵害時期を下記の簡易推定表に入れてみると、2019年末の注意喚起に気づいていれば、被害が軽減されていた可能性があり、経産省異例の注意喚起(2019年12月)やEC-CUBE開発元である、EC-CUBE社の注意喚起(2019年5月/12月)が、サイト運営者(運営委託会社)に「届かなかった」という事になります。

 

特に2系ユーザは、小さなECサイトであっても、ここ数年集中的にハッカーに狙われていますので、上記のEC-CUBEの注意喚起チェックリスト、無償の脆弱性診断告知などをご覧の上、自社のECサイト脆弱性が無いかを確認される事を強くお勧めします

 

EC-CUBEバージョンの推定表

リリース日 バージョン
2007/12/4 EC-CUBEv2.0リリース
2008/4/10 EC-CUBEv2.1リリース
2008/10/1 EC-CUBEv2.3リリース
2009/5/19 EC-CUBEv2.4リリース
2011/3/23

EC-CUBEv2.11リリース
2012/5/24

EC-CUBEv2.12リリース
2013/9/19

EC-CUBEv2.13リリース

▲Kenko卸.comの推定利用バージョン
2015/7/1 EC-CUBEv3リリース

2018/10/11

EC-CUBEv4リリース

2019/10/21~2020/10/9

 ▲Kenko卸.comが侵害を受けていた時期
2019/10/29 EC-CUBEv2.17リリース 
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起

 

 

余談です。現在のKenko卸.com」のサイトは生きているので、脆弱性対策済の様です。公式発表の再発防止策を見ると、この点について書かれていました。「リニューアルサイト」となっている様ですので、こちらも少し調べてみました。

 

f:id:foxcafelate:20210226062750p:plain

 

f:id:foxcafelate:20210226052212p:plain

トップページのソースコードを確認すると、EC-CUBE呼び出しがありました。

f:id:foxcafelate:20210226053143p:plain

 

別系を使ってリニューアルした様です。2系のソレとは違い、Copyrightの年号からバージョン推定が難しい様です。

f:id:foxcafelate:20210226053528p:plain

 

新規会員登録のページもチェックしてみます。

f:id:foxcafelate:20210226053857p:plain

 

この中で、気になったのが西梅田1丁目6-8」の例示です。

開発元であるイーシーキューブ社は現在「大阪市北区梅田2-4-9ブリーゼタワー」に本社があるので、少し前の”例示”であると考えられます。

※2系の住所例示では「東京都千代田区神田神保町1-3-5」がよく使われていますが、ロックオン社(現イルグルム社)の東京支社が当時ここにあった事から例示に使われていたのだと思います。

 

このワードを使って検索してみるとEC-CUBE4.0開発者向けドキュメントがヒットし、差分比較のデータに西梅田1丁目6-8」が出てくる事を考えると、EC-CUBE v4に移転した様です。

Google検索では4系しかヒットしません。

 

 

もっと簡単に3系や4系のバージョンを見分ける方法がありそうな気がしますが、ご容赦下さい。

 

今年に入ってのカード情報侵害事件は下記をご覧頂ければと思いますが、去年一昨年も含め、これだけv2.13(以前)が侵害を受けているという事は、それだけv2.13(2系)が優れたバージョンであった事を示唆しています。

しかし、あまりにも使い勝手が良いバージョンであったからとも言えそうですが、利用ユーザがパッチ当て等を考慮せずに導入したままのバージョンで使い続けている所を、ハッカー(攻撃者)に集中的に狙われているのは非常に残念です。

 

EC-CUBE2系が狙われ始めてから(インシデント発表が増加して)、2年以上経過しています。そろそろ2系ユーザは「気づいてほしい」

毎回の様に警鐘記事を書いている立場として、切にそう願います。

foxestar.hatenablog.com

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ポットに入った麦茶のイラスト

 

更新履歴

  • 2021年2月26日 AM