流石、羽生結弦選手と言うべきかも知れません。人気があったのはフィギュアファンだけでなく、ハッカーも「カレンダー」を狙っていた様です。
www3.nhk.or.jp
公式発表
・羽生結弦カレンダーに関するおわびとお知らせ(2020/11/30 スポーツ報知)
・「羽生結弦選手2021カスタマイズカレンダー」 販売サイトへの不正アクセスと個人情報流出の可能性について調査結果のお知らせ (2021/5/12 高速オフセット) (魚拓)
(1) 原因
第三者が専用販売サイトに不正アクセスし、カード決済処理プログラムなどを改ざんしたため
(2)流出の可能性がある情報の内容
【2020年11月11日~11月21日にご購入いただいたお客様・会員登録のみをされたお客様】=1,771名
・名前・郵便番号・住所・電話番号・メールアドレス(任意で入力いただいた場合は生年月日・性別・勤務先も)
【うち2020年11月16日午後0時20分~11月21日(サイト閉鎖)にご購入いただいたお客様】=380名
・上記に加え、クレジットカード情報(名義人、番号、有効期限、セキュリティコード)
キタきつねの所感
去年11月にスポーツ報知のお知らせを見ていたので、詳細報告がようやく出てきたか、というのが正直な所です。
しかし世間一般の”ニュースバリューは”違う様で、普段ECサイトからのカード情報漏えい事件をあまり取り上げない、NHKもこの発表を報じていました。
去年11月の段階で、個人情報が最大1,469名分漏えいした可能性があると発表され、その時点でオンライン販売が中止(ECサイト閉鎖)になっていたのですが、フォレンジック調査の結果、流出した可能性がある個人情報は1,771件+380件=2,151件と当初発表より増えた様です。
この度、報知新聞社発行「羽生結弦 2021 カスタマイズカレンダー」専用販売サイトに、第三者からの不正アクセスがあり、最大1,469人分の個人情報が流出した可能性があることが判明いたしました。
現在、同サイトを運営する高速オフセット(本社大阪市)が調査を行うとともに、ご購入者さまに個別に通知をさせていただいております。
また、今回の不正アクセスにより、「羽生結弦 2021 カスタマイズカレンダー」のオンライン販売につきましては中止させていただいております。
(スポーツ報知11/30記事より引用)
カード情報については380件が漏えいした可能性があると発表されています。サイトは閉鎖されているのですが、魚拓サイトにて侵害原因のヒントを探っていきます。
去年11月の魚拓データはあるにはあったのですが、サイト閉鎖の影響で表面上はあまり手がかりがありません。
しかし、ソースコードを見ると・・・何やら気になるバージョン表記(v=3.0.18)が確認できます。しかし、こちらのファイルは魚拓が無かったので、これ以上確認する事ができません。
今回、侵害(被害)を受けたのは、高速オフセット社ですが、このドメイン(cdbg.jp)で検索してみると、他の”カスタマイズカレンダー”も取り扱っていた様です。
今回の侵害事件とは関係がありませんが、サイトが稼働していたので、2020年の浦和レッズ女子カレンダー販売サイトを確認していきます。とは言え販売終了でクローズしていますが、こちらのソースコードを見てみます。
ソースコードには、同じ様なバージョン(v=3.0.18)が書かれており、ファイルを開けると・・・
EC-CUBE 3系(v3.0.18)である事が分かります。この事から、羽生結弦2021カスタマイズドカレンダーサイトも、侵害を受けた時点でEC-CUBE v3.0.18を利用していたと推定します。
EC-CUBEの簡易推定表に今回の侵害ケースを入れて考えてみると、v3.0.18は現時点で3系の最新バージョンとなりますので、特にバージョンが古かったという訳ではありません。
公式発表では、「第三者が専用販売サイトに不正アクセスし、カード決済処理プログラムなどを改ざんしたため」程度にしか情報が公開されていませんので、初期侵害の原因が何であったかは分かりませんが、EC-CUBEの2019年末(以降の更新)の注意喚起には、カード情報漏えいインシデントが続く2系だけでなく、3系や4系でも留意すべきポイントが公開されています。
※3系、4系ユーザの多くは既に確認済の内容かと思いますが、まだでしたら、一度きちんと確認する事を強くお勧めします。
■EC-CUBEバージョンの簡易推定表
リリース日 |
バージョン |
2007/12/4 |
EC-CUBEv2.0 リリース |
2008/4/10 |
EC-CUBEv2.1 リリース |
2008/10/1 |
EC-CUBEv2.3 リリース |
2009/5/19 |
EC-CUBEv2.4 リリース |
2011/3/23 |
EC-CUBEv2.11.0 リリース
|
2012/5/31 |
EC-CUBEv2.12.0 リリース
|
2013/9/19 |
EC-CUBEv2.13.0 リリース
|
2015/7/1 |
EC-CUBEv3.0.0 リリース |
2015/7/8 |
EC-CUBEv3.0.1 リリース
|
2015/7/29 |
EC-CUBEv3.0.2 リリース
|
2015/8/19 |
EC-CUBEv3.0.3 リリース
|
2015/10/9 |
EC-CUBEv3.0.4 リリース
|
2015/10/28 |
EC-CUBEv3.0.5 リリース
|
2015/11/18 |
EC-CUBEv3.0.6 リリース
|
2015/12/9 |
EC-CUBEv3.0.7 リリース
|
2015/12/25 |
EC-CUBEv3.0.8 リリース
|
2016/2/17 |
EC-CUBEv3.0.9 リリース
|
2016/4/25 |
EC-CUBEv3.0.10 リリース
|
2016/9/28 |
EC-CUBEv3.0.11 リリース
|
2016/10/31 |
EC-CUBEv3.0.12 リリース
※EC-CUBEv3.0.12-p1 リリース(2016/11/7)
|
2016/12/26 |
EC-CUBEv3.0.13 リリース
|
2017/3/14 |
EC-CUBEv3.0.14 リリース
|
2017/7/13 |
EC-CUBEv3.0.15 リリース |
2018/4/16 |
EC-CUBEv3.0.16 リリース |
2018/10/11
|
EC-CUBEv4.0.0 リリース
|
2018/11/27
|
EC-CUBEv3.0.17 リリース |
2019/2/26
|
EC-CUBE ec-cube.co リリース
|
2019/7/10 |
EC-CUBEv3.0.18 リリース |
2019/10/31 |
EC-CUBEv2.17.0 リリース |
2019/12/20 |
経産省注意喚起 |
2019/12/23 |
EC-CUBE注意喚起 |
2020/11/11~2020/11/21
|
▲「羽生結弦2021カスタマイズカレンダー」サイトが侵害を受けていた時期 |
余談です。今回の件を調べていて・・一番気になったのが、このリリースです。羽生結弦カスタマイズカレンダーも同じく報知新聞主催(販売サイト運営が高速オフセット社)でしたが、「原巨人軍」にもハッカーの熱い視線が注がれている・・・発表には何も書かれていませんので、そんな事は無いとは思いますが、どちらも販売中止になった点が同じなので、気になる所です。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴