Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「龍村美術織物オンラインショップ」もEC-CUBE

美術品とも言える織物や帯などの和装品を取り扱う龍村美術織物公式オンラインショップからカード情報が漏えいした可能性があると報じられていました。

www.security-next.com

 

公式発表

弊社が運営するオンラインショップへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(3/11) (魚拓

1.事案概要
(1)漏洩した可能性がある情報
①クレジットカード情報
当該サイトでクレジットカード決済をご利⽤されたお客様で、決済画面で⼊⼒いただいた以下の情報
・クレジットカード会員の氏名(名義人様氏名)
・クレジットカード番号
・クレジットカード有効期限
・セキュリティコード
②会員様情報
当該サイトにご登録いただいているお客様(会員様)の以下の情報
・ログイン ID
・ログイン PASS
(2)漏洩の規模(最大可能性)
①クレジットカード情報の件数
2019 年 11 月 25 日〜2020 年 10 月 28 日の間に、当該サイトでクレジットカード決済をご利⽤されたお客様の内、941 名のクレジットカード情報
②会員様情報
会員登録されているお客様の内、2019 年 11 月 25 日〜2020 年 10 月 28 日の間に、当該サイト購⼊手続きをされたお客様 793 名の会員情報
(3)原因
弊社が運営する当該サイトのシステムの一部脆弱性を突いた三者不正アクセスによって、決済モジュールの改ざんが⾏われたため

(公式発表より引用)

 

キタきつねの所感

侵害を受けた閉鎖前のサイトを、魚拓サイトで調べてみると、店名の通り美術品の様な織物などの和装品を取り扱っていた事がよく分かります。

f:id:foxcafelate:20210313063521p:plain

 

今回のインシデントによって被害を受けた可能性がある方は、最大で1,734名(カード情報:941名、個人情報:793名)ですが、いわゆる名簿屋さんでも高く売れそうな”種別”の情報が漏えいした可能性があると言えそうです。

 

現在当該のECサイトは閉鎖していましたが、いつもの様に魚拓サイトには侵害期間中のデータが残っていましたので、こちらを使って調査していきます。

f:id:foxcafelate:20210313064603p:plain

 

 結論から書くと、EC-CUBEv2.13を利用していた様です。

 

尚、魚拓データは2020年5月24日のものを使いました。

※侵害期間は2019年11月25日〜2020年10月28日

f:id:foxcafelate:20210313064938p:plain


トップページのソースコードを見ると・・・馴染み深いJavaScriptの呼び出しを発見しました。

f:id:foxcafelate:20210313065427p:plain

 

緑のコメントアウトこそありませんが、ec-cube.legacy.js」がある事からEC-CUBEv2.13を利用していた様です。

※本題とはおそらく関係がないかと思いますが、eccube.sphone.jsが気になったので少しチェックしてみたのですが、当該サイトは古い通信プロトコルPCI DSSだと不適合)を利用していた様に見受けらました。

 

念のためCopyright部分も確認します。2000-2014ですから、リリース時期から、2.13.2/2.13.3と推測します。

f:id:foxcafelate:20210313065907p:plain

 

公式発表にある侵害時期を下記の簡易推定表に入れてみると、2019年末の注意喚起に気づいていれば、被害が軽減されていた可能性があり、経産省異例の注意喚起(2019年12月)やEC-CUBE開発元である、EC-CUBE社の注意喚起(2019年5月/12月)が、サイト運営者(運営委託会社)に「届かなかった」という事になります。

 

EC-CUBEバージョンの推定表

リリース日 バージョン
2007/12/4 EC-CUBEv2.0リリース
2008/4/10 EC-CUBEv2.1リリース
2008/10/1 EC-CUBEv2.3リリース
2009/5/19 EC-CUBEv2.4リリース
2011/3/23

EC-CUBEv2.11リリース

2012/5/24

EC-CUBEv2.12リリース

2013/9/19

EC-CUBEv2.13リリース

▲龍村美術織物の推定利用バージョン

2015/7/1 EC-CUBEv3リリース

2018/10/11

EC-CUBEv4リリース

2019/10/29 EC-CUBEv2.17リリース 

2019/11/25~2020/10/28

▲龍村美術織物が侵害を受けていた時期
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起

 

特に2系ユーザは、小さなECサイトであっても、ここ数年集中的にハッカーに狙われていますので、上記のEC-CUBEの注意喚起チェックリスト、無償の脆弱性診断告知などをご覧の上、自社のECサイト脆弱性が無いかを確認される事を強くお勧めします

 

EC-CUBEが出している以下のチェックモジュールを利用するのも良いかと思います。

www.ec-cube.net

 

f:id:foxcafelate:20210313070957p:plain

 

余談です。

今回の公式発表では、カード情報漏えいと会員(個人)情報漏えいの2つの漏えい件数記載があるのですが、どういった意味なのか最初分かりませんでした。

並列記載なので、下記①と②は別々でカウントされるもので、②は登録情報(DB)流出?と思ったのですが、カード情報より件数が少ないですし、「購入手続きをされた」と書かれている所と矛盾します。

①クレジットカード情報の件数
2019 年 11 月 25 日〜2020 年 10 月 28 日の間に、当該サイトでクレジットカード決済をご利⽤されたお客様の内、941 名のクレジットカード情報
②会員様情報
会員登録されているお客様の内、2019 年 11 月 25 日〜2020 年 10 月 28 日の間に、当該サイト購⼊手続きをされたお客様 793 名の会員情報

(公式発表より引用)

 

そう考えてきて、代引きや銀行振り込み手続きをした方を指している(のだろう)と気づきました。

f:id:foxcafelate:20210313063445p:plain

 

インシデント原因の「第三者不正アクセス」に関する詳細内容は、ほとんど全ての国内カード情報漏えいインシデントの発表がそうである様に、ほぼ公開されていませんが、公式発表では「決済モジュール」の改ざんと書かれています。

(3)原因
弊社が運営する当該サイトのシステムの一部脆弱性を突いた三者不正アクセスによって、決済モジュールの改ざんが⾏われたため

(中略)

(2)2020 年 12 月 9 日、第三者の専門調査会社の指摘により、情報流出の原因である不正プログラムを除去しました

(公式発表より引用)

 

(以下確たる根拠はありません)

不正プログラムと書かれていますが、決済ページの入力情報を吸い上げる不正コードJavaScript)が挿入されたのかと推測します。この不正コードによって、クレジットカード利用以外の決済手段(代引き・銀行振り込み)を選択した際も、関連個人情報が窃取される様になっていたのかと想像します。

 

参考: 

foxestar.hatenablog.com

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 衣桁に掛けられた着物のイラスト

 

更新履歴

  • 2021年3月13日 AM