手焼きカステラ販売のカステラ本舗異人堂の通販サイトからカード情報漏えいの発表がされていました。
www.security-next.com
公式発表
・弊社が運営する「カステラ本舗長崎異人堂」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ (魚拓)
・情報漏洩に関するご質問とご回答(魚拓)
2.個人情報漏洩状況
(1)原因
弊社が運営する「カステラ本舗長崎異人堂」のシステムの一部の脆弱性をついたこ
とによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行
われたため。
(2)個人情報漏洩の可能性があるお客様
2019年11月29日~2020年11月20日の期間中に「カステラ本舗長
崎異人堂」においてクレジットカード決済をされたお客様709名で、漏洩した
可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(公式発表より引用)
キタきつねの所感
2年前に長崎に出張した時に、こちらの店舗を見かけた気がします。公式発表を見ると、約1年間侵害を受けていた様です。
2021年のカード情報漏えいインシデント発表は、手持ちの資料では既に21件となっており、去年が56件だった事を考えると、同様なペースで発表が続いている事が分かります。
現在当該サイトは閉鎖中であり、公式発表とFAQのみが公開されています。
FAQは比較的丁寧に書かれている印象ですが、事件原因については詳しく出て無かったので、いつもの様に魚拓サイトを使って侵害期間中のデータを探していきます。
魚拓サイトには2017年~2020年のデータが残っていましたが、侵害期間中(2019年11月29日~2020年11月20日)に当たる、2020年10月26日のデータがありましたので、こちらを詳しく見ていきます。
トップページのソースコードを見ると・・・EC-CUBEv2.13でした。
JavaScript(eccube.js)を開いてみると、Copyrightは2014年となっていましたので、v2.13.2~v2.13.3を利用していたと推定されます。
■EC-CUBEバージョンの簡易推定表(v2.0)
| リリース日 |
バージョン |
| 2007/12/4 |
EC-CUBEv2.0 リリース |
| 2008/4/10 |
EC-CUBEv2.1 リリース |
| 2008/10/1 |
EC-CUBEv2.3 リリース |
| 2009/5/19 |
EC-CUBEv2.4 リリース |
| 2011/3/23 |
EC-CUBEv2.11.0 リリース
|
| 2012/5/31 |
EC-CUBEv2.12.0 リリース
|
| 2012/7/5 |
EC-CUBEv2.12.1 リリース
|
| 2012/8/30 |
EC-CUBEv2.12.2 リリース
|
| 2013/2/8 |
EC-CUBEv2.12.3 リリース
|
| 2013/5/22 |
EC-CUBEv2.12.4 リリース
|
| 2013/6/26 |
EC-CUBEv2.12.5 リリース
|
| 2013/8/29 |
EC-CUBEv2.12.6 リリース
|
| 2013/9/19 |
EC-CUBEv2.13.0 リリース
|
| 2013/11/19 |
EC-CUBEv2.13.1 リリース
|
| 2014/6/11 |
EC-CUBEv2.13.2 リリース
▲カステラ本舗長崎異人堂が利用していた推定バージョン①
|
| 2014/11/7 |
EC-CUBEv2.13.3 リリース
▲カステラ本舗長崎異人堂が利用していた推定バージョン②
|
| 2015/7/1 |
EC-CUBEv3.0.0 リリース |
| 2015/10/23 |
EC-CUBEv2.13.4 リリース
|
| 2015/11/13 |
EC-CUBEv2.13.5 リリース
|
|
2018/10/11
|
EC-CUBEv4.0.0 リリース
|
|
2019/2/26
|
EC-CUBE ec-cube.co リリース
|
| 2019/10/31 |
EC-CUBEv2.17.0 リリース |
|
2019/11/29~2020/11/20
|
▲カステラ本舗長崎異人堂が侵害を受けていた時期 |
| 2019/12/20 |
経産省注意喚起 |
| 2019/12/23 |
EC-CUBE注意喚起 |
| 2020/6/30 |
EC-CUBEv2.17.1 リリース |
簡易推定表から見る限り、2019年末の注意喚起に気づいていれば、被害が軽減されていた可能性があり、経産省の異例の注意喚起(2019年12月)やEC-CUBE開発元である、EC-CUBE社の注意喚起(2019年5月/12月)が、今回もサイト運営者(運営委託会社)に「届かなかった」という事になります。
古いデータ(2017年)の魚拓データも見てみたのですが、同じ構成(EC-CUBEv2.13)でした。つまりECサイトを立ち上げてから、EC-CUBEの更新はほぼしてなかった事が伺えます。安定(枯れた)バージョンだったv2.13を継続利用する事は分からなくもないのですが、ソフトウェアは継続的なアップデート(最新化)は重要であり、ましてやここ数年EC-CUBE2系が異様なまでに狙われている現状を考えると、侵害を受ける前(又は早期の段階で)手を打てた気がしてなりません。
特に2系ユーザは、小さなECサイトであっても、ここ数年集中的にハッカーに狙われていますので、上記のEC-CUBEの注意喚起、チェックリスト、無償の脆弱性診断告知などをご覧の上、自社のECサイトに脆弱性が無いかを確認される事を強くお勧めします。
※EC-CUBEが出している以下のチェックモジュールを利用するのも良いかと思います。
www.ec-cube.net
参考:
foxestar.hatenablog.com
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
