Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「ゆとりの空間オンラインショップ」への不正アクセス

料理研究家栗原はるみさんがプロデュースする通販サイトから個人情報が漏えいした可能性があると発表されました。

www.security-next.com

 

公式発表

弊社が運営する「ゆとりの空間オンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ (魚拓

 

1.事案概要

(1)漏えいした可能性がある個人情報と件数
2020年12月8日~2021年3月9日の期間中に、当サイトで新規会員登録をされた5,009件の以下情報。
・お客様名
・会社名(入力任意項目)
・郵便番号、住所
・電話番号
・FAX番号(入力任意項目)
・メールアドレス
・性別
・職業(入力任意項目)
・生年月日
・パスワード
・パスワードを忘れた時のヒント
・希望メールマガジン

(2)漏えいの原因
弊社が運営する当サイトのシステムの脆弱性を悪用した第三者不正アクセスによって、新規会員登録ページの改ざんが行われたことが判明いたしました。

(公式発表より引用)

 

キタきつねの所感

公式発表を見る限り、不正アクセスに対するフォレンジック調査の第一報を受けての発表となった様です。人気料理研究家栗原はるみさん(栗原心平さん)の公式Webサイトだけあり、約3か月で5,000人の新規会員登録情報(個人情報)が、残念ながら漏えいの対象となっています。

f:id:foxcafelate:20210403045653p:plain

 

「発覚と対応の経緯」を見ると、2つの攻撃があった可能性を感じます。

3.発覚と対応の経緯

(1)2021年1月27日、当サイトをご利用されたお客様からページ遷移について問い合わせがありました。弊社にて確認したところ、サイト改ざんの可能性が疑われたため、クレジットカード会社及び決済代行会社と相談の上、当サイトのカード決済を停止及び不正利用の監視を強化いたしました。また、本件の全容解明、および被害状況の把握に向け、社内調査を進めるとともに、第三者機関による調査も開始いたしました。

(2)2021年3月9日、第三者機関からの途中経過報告により、新規会員登録ページが改ざんされていると指摘があり、当該ページを修正しました

(3)2021年3月15日、第三者機関から新規会員登録ページの改ざんにより、5009名分の情報漏洩の可能性があると指摘がありました。この指摘を受け、3月9日の当該ページ修正による暫定的な措置に加えて、再発防止策に向けた措置を検討のうえ、本日の発表に至りました。

(公式発表より引用)

 

1つが会員から問い合わせがあった「ページ遷移」です。詳細は書かれてないので想像になりますが、フィッシングページ(偽会員登録ページ)に誘導される様な攻撃だった可能性を感じます。

現サイトの会員登録画面の構成を見ると、「必須項目の入力」「入力内容の確認」「会員登録完了」という順にページが遷移していきますが、このどこかのページに、会員が不自然さを感じる(遷移について問い合わせてしまう)部分があった様に思えます。

f:id:foxcafelate:20210403044456p:plain

 

2つ目の攻撃は、カード情報を狙ったものです。

こちらについては、まだフォレンジック調査結果が出てないので、実際に被害が発生していたかは分かりませんが、多くの会員を抱えるECサイトへの不正アクセス(侵害)において、攻撃者が個人情報だけを狙うだけですむとは思えません

本件に関しましては、第三者機関による調査を急ぎ進めておりますが、本日時点で調査がまだ完了していない状況です。調査の結果、新たな事実が確認できましたら、改めてご報告させていただきます。

(中略)

3.発覚と対応の経緯

(1)2021年1月27日、当サイトをご利用されたお客様から、ページ遷移について問い合わせがありました。弊社にて確認したところ、サイト改ざんの可能性が疑われたため、クレジットカード会社及び決済代行会社と相談の上、当サイトのカード決済を停止及び不正利用の監視を強化いたしました。

(公式発表より引用)

 

公式発表の経緯部分を見ると、初期の段階でカード決済を停止しています。この事から、カード情報『も』漏えいしていた可能性は十分に考えられます。

※今後フォレンジック調査結果を受けた続報が出た場合、記事を更新する(新たに記事を書く)かも知れません。

 

現在(再発防止策を実施した上で)サイトは稼働していますので、トップページソースコードを見てみると、

 

f:id:foxcafelate:20210403050838p:plain

 

とても馴染みの深いJavaScript呼び出しが確認できます。コメントアウト(緑)こそありませんが、「eccube.legacy.js」があるのでEC-CUBEv2.13を利用している事が分かります。

eccube.jsを開いてみると、Copyrightが2013ですのでv2.13.0~v2.13.1と推定されます。

f:id:foxcafelate:20210403051109p:plain

※尚、魚拓サイトでも、侵害期間中(2020年12月8日~2021年3月9日)の2021年2月10日の魚拓データをチェックし、v2.13を利用している事を確認しました

 

 

EC-CUBE2系である事、そして侵害時期から考えると、2019年末の注意喚起に気づいていれば、被害が防げていた可能性があり、経産省異例の注意喚起(2019年12月)やEC-CUBE開発元である、EC-CUBE社の注意喚起(2019年5月/12月)が、今回もサイト運営者(運営委託会社)に「届かなかった」という事になります。

 

特に2系ユーザは、小さなECサイトであっても、ここ数年集中的にハッカーに狙われていますので、上記のEC-CUBEの注意喚起チェックリスト、無償の脆弱性診断告知などをご覧の上、自社のECサイト脆弱性が無いかを確認される事を強くお勧めします

 

EC-CUBEが出している以下のチェックモジュールを利用するのも良いかと思います。

www.ec-cube.net

 

f:id:foxcafelate:20210313070957p:plain

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 料理動画のイラスト(女性)

 

更新履歴

  • 2021年4月2日 AM