Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「ケンコーオンラインショッピング」もEC-CUBE

ストーマ用品を取り扱うケンコーのECサイトからカード情報が漏えいした可能性があると発表されていました。

www2.uccard.co.jp

 

公式発表

弊社が運営する「ケンコーオンラインショッピング」への不正アクセスによる
クレジットカード情報漏えいに関するお詫びとお知らせ
(魚拓

(1)原因
弊社が運営する「ケンコーオンラインショッピング」のシステムの一部が三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたためと、調査機関により判断されました。
(2)個人情報漏洩内容
2019 年 9 月 14 日~2020 年 10 月 23 日の期間中に「ケンコーオンラインショッピング」においてクレジットカード決済をされたお客様 152 件で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

(公式発表より引用)

 

キタきつねの所感

3月29日にカード情報漏えいを発表したのが3件ありますが、昨日のApparelXの記事に続き、2件目の記事となります。

※昨日も書きましたが、1か月で9件発表は多い(インシデントが減ってない)気がします。

f:id:foxcafelate:20210330051742p:plain

 

現在はカード決済を停止している様ですが、サイトは活きている様に思えたので、侵害を受けたサイトを確認してみると、閉鎖をしなかった影響か少しサイト(サイト)の整合性が崩れている様です。

f:id:foxcafelate:20210330155716p:plain

 

(本題とは関係が無い部分ですが)少し気になったのが、カード決済を停止していて、カードブランドのロゴを表示している点でしたが、公式発表でも”停止”としていたので単に表示残りだけではあると思いますが。

f:id:foxcafelate:20210330160225p:plain

 

同じ部分で調べてみると、「マイページ」や「新規会員登録」からの遷移画面が出てこないので半閉鎖中の様な状況なのかも知れません。

 

f:id:foxcafelate:20210330160731p:plain

とは言え、サイトは稼働していたので、トップページのソースコードを確認してみました。

 

見覚えのある緑のコメントアウトが確認できましたので、EC-CUBEv2.13を(本日時点で)利用していた事で確定です。

f:id:foxcafelate:20210330160942p:plain

 

JavaScript(eccube.js)を開いてみると、Copyrightは2014年となっていましたので、v2.13.2~v2.13.3を利用していたと推定されます。

 

f:id:foxcafelate:20210330161107p:plain

※尚、魚拓サイトでも、侵害期間中(2019年9月14日~2020年10月23日)の2020年10月1日の魚拓データを念のためチェックし、同じv2.13を利用している事を確認しました。

 

EC-CUBEバージョンの簡易推定表(v2.0)

リリース日 バージョン
2007/12/4 EC-CUBEv2.0 リリース
2008/4/10 EC-CUBEv2.1 リリース
2008/10/1 EC-CUBEv2.3 リリース
2009/5/19 EC-CUBEv2.4 リリース
2011/3/23

EC-CUBEv2.11.0 リリース

2012/5/31

EC-CUBEv2.12.0 リリース

2012/7/5

EC-CUBEv2.12.1 リリース

2012/8/30

EC-CUBEv2.12.2 リリース

2013/2/8

EC-CUBEv2.12.3 リリース

2013/5/22

EC-CUBEv2.12.4 リリース

2013/6/26

EC-CUBEv2.12.5 リリース

2013/8/29

EC-CUBEv2.12.6 リリース

2013/9/19

EC-CUBEv2.13.0 リリース

2013/11/19

EC-CUBEv2.13.1 リリース

2014/6/11

EC-CUBEv2.13.2 リリース

▲ケンコーオンラインショッピングが利用していた推定バージョン①

2014/11/7

EC-CUBEv2.13.3 リリース

▲ケンコーオンラインショッピングが利用していた推定バージョン②

2015/7/1 EC-CUBEv3.0.0 リリース
2015/10/23

EC-CUBEv2.13.4 リリース

2015/11/13

EC-CUBEv2.13.5 リリース

2018/10/11

EC-CUBEv4.0.0 リリース

2019/2/26

EC-CUBE ec-cube.co リリース

2019/9/14~2020/10/23

▲ケンコーオンラインショッピングが侵害を受けていた時期
2019/10/31 EC-CUBEv2.17.0 リリース 
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起
2020/6/30  EC-CUBEv2.17.1 リリース

 

 

簡易推定表から見る限り、2019年末の注意喚起に気づいていれば、被害が軽減されていた可能性があり、経産省異例の注意喚起(2019年12月)やEC-CUBE開発元である、EC-CUBE社の注意喚起(2019年5月/12月)が、今回もサイト運営者(運営委託会社)に「届かなかった」という事になります。

 

特に2系ユーザは、小さなECサイトであっても、ここ数年集中的にハッカーに狙われていますので、上記のEC-CUBEの注意喚起チェックリスト、無償の脆弱性診断告知などをご覧の上、自社のECサイト脆弱性が無いかを確認される事を強くお勧めします

 

EC-CUBEが出している以下のチェックモジュールを利用するのも良いかと思います。

www.ec-cube.net

 

f:id:foxcafelate:20210313070957p:plain

 

余談です。公式発表には再発防止について以下の様に書かれていましたが、

5.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
改修後の「ケンコーオンラインショッピング」の再開日につきましては、決定次第、改めて Web サイト上にてお知らせいたします。

(公式発表より引用)

 

調査の最中に、下記の画面を確認しました。EC-CUBE社のチェックリストにも書かれている脆弱ポイントですが、ケンコー社は「まだ対策が必要」の様に感じました。

f:id:foxcafelate:20210330162954p:plain

 

参考:

foxestar.hatenablog.com

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 点滴のイラスト(医療)

 

更新履歴

  • 2021年3月30日 PM