Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「宝仙堂」の2サイトもEC-CUBE

クレジットカード情報漏えい事件 不正アクセス事件 調べてみた。 PCI DSS

健康食品などを扱う宝仙堂のECサイト不正アクセスを受け、カード情報や個人情報が流出した可能性があると報じられていました。

www.security-next.com

 

公式発表

弊社が運営するショッピングサイト「すっぽんコラーゲン」「宝仙堂パワーライフ」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ

1.経緯

2020年9月14日、弊社サイトへのアクセス障害およびサーバー障害を確認し調査を開始、その中で弊社がシステムの管理、運営業務を委託する企業より個人情報の収められたファイルの削除・流出の懸念について連絡を受け、2020年9月16日弊社が運営する「すっぽんコラーゲン」「宝仙堂パワーライフ」へのアクセスを制限、カード決済を停止いたしました。

(中略)

2.個人情報流出状況

(1)原因

弊社が運営する「すっぽんコラーゲン」「宝仙堂パワーライフ」のシステムに対しての三者不正アクセス

(2)個人情報流出の可能性があるお客様

【クレジット決済をご利用の方】
2019年6月15日~2019年10月26日の期間中に「宝仙堂すっぽんコラーゲン」においてクレジットカード決済をされたお客様4名、および2014年9月19日~2017年11月9日の期間中に「宝仙堂パワーライフ」においてクレジットカード決済をされたお客様73名で、流出した可能性のある情報は以下の通りです。

・住所
・電話番号
・Eメールアドレス
・生年月日
クレジットカード情報(カード名義人名、クレジットカード番号、有効期限)

上記に該当する77名のお客様については別途、電子メールおよび書状にて、個別にご連絡申し上げます。

【その他の決済方法をご利用の方】
2019年6月15日~2019年10月26日の期間中に「宝仙堂すっぽんコラーゲン」をご利用されたお客様11名、および2014年9月19日~2017年11月9日の期間中に「宝仙堂パワーライフ」をされたお客様155名で、流出した可能性のある情報は以下の通りです。

・住所
・電話番号
・Eメールアドレス
・生年月日

(公式発表より引用)

 

キタきつねの所感

すっぽん製品やフローラゼリー、漢方薬等、健康東健康食品などを扱う宝仙堂のECサイト不正アクセスを受け、カード情報や個人情報が流出した可能性があると報じれれていました。昨日の記事でも触れましたが、ここ最近カード流出インシデント発表が続いている気がします。

公式発表からまず読み取れたのが、改正割賦販売法クレジットカード・セキュリティガイドライン違反の可能性です。

「宝仙堂パワーライフ」のサイトから2014年~2017年のカード情報が漏えいしたという事は、”カード情報非保持化”が出来てなかったという事を示唆しています。

※攻撃者(ハッカー)が2014年当時から侵入していた可能性も(わずかに)考えられなくもありませんが、公式発表の暴動(1.経緯)に「ファイル削除・流出」と書かれている事から、変な所(ログでしょうか・・・)にカード情報が残っていた可能性を強く感じます。

ECサイト側に保存していたカード情報は全て、少なくても割賦割賦販売法施行前(2018年6月1日前)に削除してないと「カード情報非保持」とはなりません。

 

現在の宝仙堂のトップページ右上にはOnline Shopの入口があったのでこちらが侵害を受けたのだと思って、 調べ始めたのですが、こちら(の旧サイト)では無かった様です。

※現在Online Shopがリニューアルされていたので、こちらに商品を集約する様です。

f:id:foxcafelate:20210327140708p:plain

 

魚拓データで調べてみると、2019年7月31日のデータがあったのでこちらから辿っていくと、公式発表に侵害を受けたと発表があった「すっぽんコラーゲン」と「宝仙堂パラーライフ」のリンクがあり、どうやら今回侵害を受けたのはこちらの様です。

ドメインは別々です

f:id:foxcafelate:20210327141359p:plain

 「すっぽんコラーゲン」サイトから確認していきます。こちらのサイトの「ご購入はこちらから!」を押すと、購入者登録の画面に遷移します。

f:id:foxcafelate:20210327154736p:plain

フレームが分かれていて最初気づかなかったのですが、ひたすら宣伝文を読みながらスクロールしていくと・・・何やら気になる所を発見したのでソースコードを確認します。

f:id:foxcafelate:20210327155110p:plain

 

すると、馴染みの深いJS呼び出し部分が確認できました。

f:id:foxcafelate:20210327155211p:plain

site.jsを開いてみると・・・やはりEC-CUBE(2系)でした。Copyrightから考えると

v2.4までのEC-CUBEバージョン(サポート切れ)を利用していたと推測されます。

※v2.4は2014年9月末でサポート終了となっています。

f:id:foxcafelate:20210327155323p:plain

 

続いて 「宝仙堂パワーライフ」サイトを確認していきます。こちらも下の方に申し込みボタンがあったので、そちらから購入画面に遷移していきます。

f:id:foxcafelate:20210327160124p:plain


こちらも、いかにも効果がありそうな宣伝文を何ページ分か読んだ先に購入者登録画面がありました。やはりこちらもソースコード(フレーム)を確認します。

f:id:foxcafelate:20210327160211p:plain

 

まぁ、そうだろうなと思いましたが、EC-CUBEのJS呼び出しを確認しました。

※2サイト共に同じ形で呼んでいましたので、EC-CUBE機能は共通だったのかと思います。

f:id:foxcafelate:20210327160342p:plain

JSファイルは見つかりませんでしたので、証跡は確認できませんでしたが、EC-CUBEの同様な脆弱点を突かれたのかと想像します。

 

 

参考:

foxestar.hatenablog.com

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 すっぽんのイラスト

 

更新履歴

  • 2021年3月27日 PM