美術品とも言える織物や帯などの和装品を取り扱う龍村美術織物公式オンラインショップからカード情報が漏えいした可能性があると報じられていました。
www.security-next.com
公式発表
・弊社が運営するオンラインショップへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(3/11) (魚拓)
1.事案概要
(1)漏洩した可能性がある情報
①クレジットカード情報
当該サイトでクレジットカード決済をご利⽤されたお客様で、決済画面で⼊⼒いただいた以下の情報
・クレジットカード会員の氏名(名義人様氏名)
・クレジットカード番号
・クレジットカード有効期限
・セキュリティコード
②会員様情報
当該サイトにご登録いただいているお客様(会員様)の以下の情報
・ログイン ID
・ログイン PASS
(2)漏洩の規模(最大可能性)
①クレジットカード情報の件数
2019 年 11 月 25 日〜2020 年 10 月 28 日の間に、当該サイトでクレジットカード決済をご利⽤されたお客様の内、941 名のクレジットカード情報
②会員様情報
会員登録されているお客様の内、2019 年 11 月 25 日〜2020 年 10 月 28 日の間に、当該サイト購⼊手続きをされたお客様 793 名の会員情報
(3)原因
弊社が運営する当該サイトのシステムの一部脆弱性を突いた第三者の不正アクセスによって、決済モジュールの改ざんが⾏われたため。
(公式発表より引用)
キタきつねの所感
侵害を受けた閉鎖前のサイトを、魚拓サイトで調べてみると、店名の通り美術品の様な織物などの和装品を取り扱っていた事がよく分かります。
今回のインシデントによって被害を受けた可能性がある方は、最大で1,734名(カード情報:941名、個人情報:793名)ですが、いわゆる名簿屋さんでも高く売れそうな”種別”の情報が漏えいした可能性があると言えそうです。
現在当該のECサイトは閉鎖していましたが、いつもの様に魚拓サイトには侵害期間中のデータが残っていましたので、こちらを使って調査していきます。
結論から書くと、EC-CUBEv2.13を利用していた様です。
尚、魚拓データは2020年5月24日のものを使いました。
※侵害期間は2019年11月25日〜2020年10月28日
トップページのソースコードを見ると・・・馴染み深いJavaScriptの呼び出しを発見しました。
緑のコメントアウトこそありませんが、「ec-cube.legacy.js」がある事からEC-CUBEv2.13を利用していた様です。
※本題とはおそらく関係がないかと思いますが、eccube.sphone.jsが気になったので少しチェックしてみたのですが、当該サイトは古い通信プロトコル(PCI DSSだと不適合)を利用していた様に見受けらました。
念のためCopyright部分も確認します。2000-2014ですから、リリース時期から、2.13.2/2.13.3と推測します。
公式発表にある侵害時期を下記の簡易推定表に入れてみると、2019年末の注意喚起に気づいていれば、被害が軽減されていた可能性があり、経産省の異例の注意喚起(2019年12月)やEC-CUBE開発元である、EC-CUBE社の注意喚起(2019年5月/12月)が、サイト運営者(運営委託会社)に「届かなかった」という事になります。
■EC-CUBEバージョンの推定表
リリース日 |
バージョン |
2007/12/4 |
EC-CUBEv2.0リリース |
2008/4/10 |
EC-CUBEv2.1リリース |
2008/10/1 |
EC-CUBEv2.3リリース |
2009/5/19 |
EC-CUBEv2.4リリース |
2011/3/23 |
EC-CUBEv2.11リリース
|
2012/5/24 |
EC-CUBEv2.12リリース
|
2013/9/19 |
EC-CUBEv2.13リリース
▲龍村美術織物の推定利用バージョン
|
2015/7/1 |
EC-CUBEv3リリース |
2018/10/11
|
EC-CUBEv4リリース
|
2019/10/29 |
EC-CUBEv2.17リリース |
2019/11/25~2020/10/28
|
▲龍村美術織物が侵害を受けていた時期 |
2019/12/20 |
経産省注意喚起 |
2019/12/23 |
EC-CUBE注意喚起 |
特に2系ユーザは、小さなECサイトであっても、ここ数年集中的にハッカーに狙われていますので、上記のEC-CUBEの注意喚起、チェックリスト、無償の脆弱性診断告知などをご覧の上、自社のECサイトに脆弱性が無いかを確認される事を強くお勧めします。
※EC-CUBEが出している以下のチェックモジュールを利用するのも良いかと思います。
www.ec-cube.net
余談です。
今回の公式発表では、カード情報漏えいと会員(個人)情報漏えいの2つの漏えい件数記載があるのですが、どういった意味なのか最初分かりませんでした。
並列記載なので、下記①と②は別々でカウントされるもので、②は登録情報(DB)流出?と思ったのですが、カード情報より件数が少ないですし、「購入手続きをされた」と書かれている所と矛盾します。
①クレジットカード情報の件数
2019 年 11 月 25 日〜2020 年 10 月 28 日の間に、当該サイトでクレジットカード決済をご利⽤されたお客様の内、941 名のクレジットカード情報
②会員様情報
会員登録されているお客様の内、2019 年 11 月 25 日〜2020 年 10 月 28 日の間に、当該サイト購⼊手続きをされたお客様 793 名の会員情報
(公式発表より引用)
そう考えてきて、代引きや銀行振り込み手続きをした方を指している(のだろう)と気づきました。
インシデント原因の「第三者の不正アクセス」に関する詳細内容は、ほとんど全ての国内カード情報漏えいインシデントの発表がそうである様に、ほぼ公開されていませんが、公式発表では「決済モジュール」の改ざんと書かれています。
(3)原因
弊社が運営する当該サイトのシステムの一部脆弱性を突いた第三者の不正アクセスによって、決済モジュールの改ざんが⾏われたため。
(中略)
(2)2020 年 12 月 9 日、第三者の専門調査会社の指摘により、情報流出の原因である不正プログラムを除去しました。
(公式発表より引用)
(以下確たる根拠はありません)
不正プログラムと書かれていますが、決済ページの入力情報を吸い上げる不正コード(JavaScript)が挿入されたのかと推測します。この不正コードによって、クレジットカード利用以外の決済手段(代引き・銀行振り込み)を選択した際も、関連個人情報が窃取される様になっていたのかと想像します。
参考:
foxestar.hatenablog.com
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴