URBAN RESEARCH、DOORS、ROSSO、かぐれ等、多くのブランドを持つアーバンリサーチ社のECサイトからの会員情報漏えいが発表されていました。
www.itmedia.co.jp
公式発表
・アーバンリサーチ公式オンラインストアからの個人情報流出に関するお詫びとお願い
1. 概要について
3月8日、弊社公式オンラインストアに対する不正アクセスが確認され、調査を行った結果、3月7日夜から3月8日昼にかけて不正アクセスがあり、お客様情報が流出したおそれがあることが判明しました。
そのため、同日、不正アクセスを行っていた特定のIPアドレス群からの通信を遮断するとともに、セキュリティ強化の対策を行いました。
2. 流出したおそれのある個人情報について
弊社公式オンラインストアのご利用に際して同サイトに連携された弊社UR CLUB会員情報のうち、317,326人分。
住所、氏名、電話番号、メールアドレス、生年月日、性別、会員ID、会員ステージ等。
※クレジットカード番号は含まれておりません。
3. 原因について
第三者による不正アクセス
(公式発表より引用)
キタきつねの所感
約31.7万人の個人情報(詳細)流出というのは、国内ECサイトの近年のインシデント発表では比較的多い気がします。
アーバンリサーチ社はすぐに(1日以内に)不正アクセスの兆候を検知していて、被害が最小限に抑えられた(カード情報までは漏えいしなかった)にも関わらず、30万件以上の個人情報が窃取されたと考えると、情報資産(個人情報)を守るのがいかに大変かを物語っているとも言えそうです。
今回被害を受けた、アーバンリサーチの実店舗・オンラインストア共通の会員サービス「UR CLUB」は2016年に会員数100万人を突破しています。
夢のデートをプロデュース produced by UR CLUB | SPECIAL | URBAN RESEARCH アーバンリサーチ
売上高の推移などから現在の会員数は120~150万人(以上)だと推測されますが、この推測が合っているとした場合、今回被害を受けたのは全体の1/4~1/5程度となります。
原因が不正アクセスと発表されている事から、最初はパスワードリスト攻撃を考えたのですが、攻撃成功率が高すぎるので、この可能性は非常に低いかと思います。
※原因部分とは直接的には関係がありませんが、公式発表を読んで気になったのが、「不正アクセスを行っていた特定のIPアドレス群」の記載です。攻撃者はいくつかのIPアドレスを切替えて攻撃した事を表しています。攻撃IPの数にもよると思いますが、マニュアルではなく自動遮断なども、特に大手ECサイトでは検討が必要になってきている気がします。
今回、カード情報は漏えいしてないとも発表されていましたが、侵害を受けたサイト「UR ONLINE STORE」をチェックしてみました。
こちらのトップページのソースに、馴染みのあるJSの呼び出しが確認されました。
EC-CUBE2系によくあるソースコード記載です。
このファイルの1つ(site.js)を開けてみると、2系特有の証跡が確認できましたが、「Copyright」の”年号”が古いのに少し驚きました。
EC-CUBEの推定表に入れてみると・・・
現在もサポート切れの古いEC-CUBE v2.0を利用している事になります。
※3/11 PM securitywatcherengineer様からEC-CUBEv2.4(又はv2.3)の可能性が高いとのご指摘を頂きました。古いサポート切れバージョンである事は間違いありませんがCopyRightだけで推定していた為、誤った記述になっていた事をお詫びいたします。
不正アクセスの原因は詳細発表されていませんし、過去のサイトの状況を魚拓サイトで確認できてはいませんので、単なる推測でしかありませんが、EC-CUBEサイトのインシデント発表は国内(ECサイト)では非常に多いので、EC-CUBE特有の脆弱点が突かれた可能性が高いかと思います。
■EC-CUBEバージョンの推定表
| リリース日 |
バージョン |
| 2007/12/4 |
EC-CUBEv2.0リリース
▲アーバンリサーチの推定利用バージョン
(*3/11 PM 追記~v2.4までの可能性有)
|
| 2008/4/10 |
EC-CUBEv2.1リリース |
| 2008/10/1 |
EC-CUBEv2.3リリース |
| 2009/5/19 |
EC-CUBEv2.4リリース |
| 2011/3/23 |
EC-CUBEv2.11リリース
|
| 2012/5/24 |
EC-CUBEv2.12リリース
|
| 2013/9/19 |
EC-CUBEv2.13リリース
|
| 2015/7/1 |
EC-CUBEv3リリース |
|
2018/10/11
|
EC-CUBEv4リリース
|
| 2019/10/29 |
EC-CUBEv2.17リリース |
| 2019/12/20 |
経産省注意喚起 |
| 2019/12/23 |
EC-CUBE注意喚起 |
|
2021/3/7~2021/3/8
|
▲アーバンリサーチが侵害を受けていた期間 |
公式発表を見る限り、インシデントを受けての1次対策(緩和策)は実施されている様ですが、普通に考えれば、まずソフトウェアの最新化(アップデート)に着手するべきだと思いますが、アーバンリサーチ社の初期判断は違った様です。
※再発防止策の中に入っているのだろうと思いますが・・・・
4. これまでに実施した対応について
・ セキュリティ設定の強化
・ 該当する可能性のあるお客様への個別のご案内
・ 該当する可能性のあるお客様の会員資格の停止
・ 個人情報保護委員会への報告
・ 問い合せ窓口の設置
5. 再発防止策について
不正アクセスに対するセキュリティ対策を実施するとともに監視体制を強化し、再発防止に努めてまいります。
(公式発表より引用)
2019年末の経産省の異例の注意喚起やEC-CUBE社の注意喚起(2019年5月/12月)は、「クレジットカード流出被害」が増加している事に対する注意喚起であり、「個人情報漏えい」も懸念される事を見過ごす可能性のある書き方(※経産省はクレジットカード番号等)になっているのですが、脆弱性を突かれれば、結果は同じです。
※アーバンリサーチ社は今回の不正アクセスへの検知が早かったので、個人情報を窃取された所で被害を食い止めていますが、過去に侵害を受けたECサイトの多くは長期間侵害に気づかずに、(個人情報の窃取に加えて)カード情報を窃取する為の、フィッシング(偽)サイトが管理者権限を悪用されて作られている、あるいは正規ページに不正なJavaScriptを仕掛けられるなどの被害を受けています。
ECサイトを立ち上げたら終わりと安易に考えている中小の事業者が多いのは人的面などから考えても仕方が無い部分もありますが、アーバンリサーチ社は100万人以上の会員を抱える大手ECサイト(カード加盟店)である事を考えると、ソフトウェア更新の重要性を軽視していたと言われても仕方が無いのではないでしょうか。
現在対策中であり、他のセキュリティ対策(緩和策)を取っていたとは思いますが、サポート切れ2007年リリースバージョンのEC-CUBEを(現時点で)アップデートしてない事から考えると、既知の脆弱性を突かれて、更に攻撃を受ける可能性すら感じました。
※詳細は書けませんが、簡易チェックした範囲では脆弱点が他にもありそうでした。
※今後の高度な攻撃の可能性(リスク)について懸念しているものであり、追加導入された対策や監視強化によって攻撃を受けたリスクはかなり低くなっていると思われます事を補記しておきます。
不安ばかり煽る記載もどうかと思いますので、現サイトで追加対策がされたと思われる点も触れておきます。魚拓サイトから過去のコンテンツを確認した所、リダイレクトされます。どうやらSSOを追加導入している様です。
※3/11 PM securitywatcherengineer様からご指摘があり、事件以前の段階でのSSO導入があったとのご指摘を頂き、該当部分を削除します。また、併せてSSOの実装ミスも原因として考えられるとのコメントを頂きました。原因部分は公式発表されていませんが、他のEC-CUBEユーザーからの侵害事件と違い、別な脆弱点(SSO実装・運用ミス)が原因であった可能性もある為、注意喚起の観点から追記させて頂きます。
事件検知(3/8)から、こうした対策を数日間で導入できている(であろう)事は素晴らしいのですが、逆を返せば、もっと早期に導入できたのではないでしょうか?
最後に、特に2系ユーザは小さなECサイトであっても、ここ数年集中的にハッカーに狙われていますので、上記のEC-CUBEの注意喚起、チェックリスト、無償の脆弱性診断告知などをご覧の上、自社のECサイトに脆弱性が無いかを確認される事を強くお勧めします。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
- 2021年3月11日 AM
- 2021年3月11日 PM コメントを受け一部内容を修正・追記
