東京に6店舗あり、日本酒やワイン等を販売している「はせがわ酒店」のオンラインショップが不正アクセスを受け、カード情報を流出したおそれがあると発表していました。
cybersecurity-jp.com
公式発表
・弊社が運営する「はせがわ酒店 オンライン店」への不正アクセスによる個人情報流出に関するお詫びとお知らせ (魚拓)
2. 個人情報流出状況
(1)原因
弊社が運営する「はせがわ酒店 オンライン店」に対する第三者の不正アクセス
(2)個人情報流出の可能性があるお客様
2020 年 12 月 18 日~2021 年 1 月 20 日の期間中に「はせがわ酒店 オンライン店」においてクレジットカード決済をされたお客様 2865 名で、流出した可能性のある情報は以下の通りです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
キタきつねの所感
公式発表を読んで、侵害原因がよく分からない「第三者の不正アクセス」という部分はさておき、約1か月で2,865件のカード情報が流出したと考えると、言い方が悪いのですが、攻撃側は上手く年末年始の「お酒」需要を狙ったなと思います。
米国ではサンクスギビング(感謝祭)~クリスマス商戦の頃が一年で最も小売店の売上が伸びる時期と言われていますが、日本でも年末年始の自宅での巣籠りアルコール消費は、相当増えていたと思われますので、そうした影響もあり比較的多くのカード利用者が影響を受けた可能性を感じます。
今週に限って言えば、カード情報漏えいインシデントの発表が続いています。ECサイトが侵害を受けた時期は少し前であって、フォレンジック調査の上でカード会社等と調整された上で公式発表されるので、必ずしも「現時点」でのインシデントが増えていると言う訳ではありませんが、3月に入ってのカード情報漏えい発表6件(※)というのは月単位で考えると少し多い気がします。
参考まで、精査できてはいないのですが、手持ちの集計データで月単位のカード情報漏えいインシデントの発表件数をグラフにすると以下の様になります(期間:2019年1月~2021年3月)
侵害を受けたECサイトを調査していきます。トップページは稼働中ですが、侵害を受けた(左下の)「ご注文はこちら」を押すと、
サイト一時閉店の(メンテナンス中)お知らせが出てきます。
特にこのページからは読み取れるものが無かったので、魚拓サイトから侵害を受けた時期(2020年12月18日~2021年1月20日)のECサイトを調べていきます。
魚拓サイトにデータはあるにはあったのですが、一番近いものは2020年11月30日(侵害期間外)のデータしかありませんでしたのでこちらを分析・・・と思ったのですが、2014年のデータも残っていたので、まずはこちらを確認してみます。
こちらのソースコードを見てみると、、
EC-CUBE2系のJavaScript呼び出し部分が出てきました。
Copyrightから考えるとv2.12辺りを利用していたと思われます。
とは言え、この魚拓データは侵害時期からは遠い時期ですので、侵害時期に一番近い2020年11月30日のデータに戻って確認していきます。
サイトの作りが2014年頃のものとは少し違うので、EC-CUBE2系ではないだろうなと思いながら、ソースコードを確認していくと、
やはり癖が少し違います。この中でcmd.jsを開いてみると、
EC-CUBE利用の痕跡が確認できます。
上記のURL構成で、3系の構造が上記の形だったかと思いますし、「v=3.0.18」の部分がそのまま3系のバージョンという構造だったかと思いますので、2系から3系の最終バージョン(現在3系の最新バージョン)にupgradeしていた所を、不正アクセス(攻撃)を受けた可能性が高い様です。
3系はサポートは継続されているものの開発は終了し(最終バージョン3.0.18)、ベースとなっているSilexは2018年6月に開発を終了しています。また同じくベースとなっているSymfony2.7(現在の最新は5.2)もサポート期間が2019年5月まででしたので、設定ミスなどの攻撃要素以外にも、ゼロディ脆弱性などが出た場合は早期の対応が難しい部分もあろうかと思います。
上記のEC-CUBEの推定バージョン情報を、以下の推定表(時系列確認表)に入れてみます。
■EC-CUBEバージョンの簡易推定表
リリース日 |
バージョン |
2007/12/4 |
EC-CUBEv2.0 リリース |
2008/4/10 |
EC-CUBEv2.1 リリース |
2008/10/1 |
EC-CUBEv2.3 リリース |
2009/5/19 |
EC-CUBEv2.4 リリース |
2011/3/23 |
EC-CUBEv2.11.0 リリース
|
2012/5/31 |
EC-CUBEv2.12.0 リリース
|
2013/9/19 |
EC-CUBEv2.13.0 リリース
|
2015/7/1 |
EC-CUBEv3.0.0 リリース |
2015/7/8 |
EC-CUBEv3.0.1 リリース
|
2015/7/29 |
EC-CUBEv3.0.2 リリース
|
2015/8/19 |
EC-CUBEv3.0.3 リリース
|
2015/10/9 |
EC-CUBEv3.0.4 リリース
|
2015/10/28 |
EC-CUBEv3.0.5 リリース
|
2015/11/18 |
EC-CUBEv3.0.6 リリース
|
2015/12/9 |
EC-CUBEv3.0.7 リリース
|
2015/12/25 |
EC-CUBEv3.0.8 リリース
|
2016/2/17 |
EC-CUBEv3.0.9 リリース
|
2016/4/25 |
EC-CUBEv3.0.10 リリース
|
2016/9/28 |
EC-CUBEv3.0.11 リリース
|
2016/10/31 |
EC-CUBEv3.0.12 リリース
※EC-CUBEv3.0.12-p1 リリース(2016/11/7)
|
2016/12/26 |
EC-CUBEv3.0.13 リリース
|
2017/3/14 |
EC-CUBEv3.0.14 リリース
|
2017/7/13 |
EC-CUBEv3.0.15 リリース |
2018/4/16 |
EC-CUBEv3.0.16 リリース
▲はせがわ酒店オンラインショップの推定利用バージョン
|
2018/10/11
|
EC-CUBEv4.0.0 リリース
|
2018/11/27
|
EC-CUBEv3.0.17 リリース |
2019/2/26
|
EC-CUBE ec-cube.co リリース
|
2019/10/31 |
EC-CUBEv2.17.0 リリース |
2019/12/20 |
経産省注意喚起 |
2019/12/23 |
EC-CUBE注意喚起 |
2020/12/18~2021/1/20
|
▲はせがわ酒店オンラインショップが侵害を受けていた期間 |
時系列でみると、2019年末の注意喚起に気づいていれば、被害が防げていた可能性もあり、経産省の異例の注意喚起(2019年12月)やEC-CUBE開発元である、EC-CUBE社の注意喚起(2019年5月/12月)が、今回もサイト運営者(運営委託会社)に「届かなかった」と可能性を感じます。
2系ユーザだけでなく、数は少ない(圧倒的に2系が多い)ですが3系もハッカーに狙われてインシデント発表が出ていますので、上記のEC-CUBEの注意喚起、チェックリスト、無償の脆弱性診断告知などをご覧の上、自社のECサイトに脆弱性が無いかを確認される事をお勧めします。
余談です。はせがわ酒店オンラインショップは現在閉鎖中のはずですが・・・調査している最中に気になるものを見つけました。
ECサイト(EC-CUBEv3.0.18)が裏で稼働している様に思えます。。。。もしかするとECサイトへのリンク(リダイレクト設定)を変えただけな気がします。
クレジットカード決済が停止しており、不正アクセスを受けた脆弱性については既に対策済であり、問題はないと判断されたのだとは思いますが、HP上では「一時閉店」としている点とは矛盾があるのが気になりました。
※考え過ぎかと思いますが、仮に脆弱性が未対策の場合、更に情報流出被害が発生する事も懸念されます。
4. 再発防止策ならびに弊社が運営するサイト-の再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。改修後の当該サイトの再開日につきましては、決定次第、改めて Web サイト上にてお知らせいたします
(公式発表より引用)
参考:
foxestar.hatenablog.com
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴