Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

香水学園もEC-CUBE

香水の通販サイト「香水学園」からのカード情報漏えいが発表されていました。

www2.uccard.co.jp

 

公式発表

弊社が運営する「香水学園」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ

(1)原因
弊社が運営する「香水学園」のシステムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様
2020年2月24日~2021年1月8日の期間中に「香水学園」においてクレジットカード決済をされたお客様2821名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

 

キタきつねの所感

今週2件目のカード情報漏えい記事となります。詳しくまとめてませんが、現時点でのインシデント発生件数は去年と同等(微減?)になっている気がします。

大きな事件が無い事に安心されている関係者の方も多い様ですが、個人的には、大きく発生件数が減ってない事にモヤモヤしたものを感じています。

 

現在もサイトは稼働していますが、ログインページを見ると、今年1月20日リニューアルをした事が書かれています。(※カード決済は含まれず)

ソースコードを見る限り、ショップサーブ(Eストア)へ乗り換えた様に見えます。

f:id:foxcafelate:20210520054550p:plain

 

ですので、侵害を受けた「香水学園」を魚拓サイト使って見ていきます。

※先日の洗匠工房記事では調査ミス(記事修正)がありましたので、今後はきちんと根拠(痕跡)をベースにした記事を書ける様に努力致します。

 

侵害期間(2020年2月24日~2021年1月8日)中の、2020年11月1日の魚拓データがありましたので、こちらを確認していきます。

トップページの雰囲気は現行サイトとそっくりですが、ソースコードを見てみると・・・

※左が現行サイト、右が魚拓データ

f:id:foxcafelate:20210520055908p:plain  f:id:foxcafelate:20210520060112p:plain

 

EC-CUBEの痕跡がありました。

f:id:foxcafelate:20210520060236p:plain

緑のコメントアウトから、v2.13を利用していた事が分かります。

 

JSファイルのCopyrightから、v2.13.2又は2.13.3を利用していたと推定されます。

f:id:foxcafelate:20210520060357p:plain 

 

EC-CUBEバージョンの簡易推定表(2系時の推定表)

リリース日 バージョン
2007/12/4 EC-CUBEv2.0 リリース
2008/4/10 EC-CUBEv2.1 リリース
2008/10/1 EC-CUBEv2.3 リリース
2009/5/19 EC-CUBEv2.4 リリース
2011/3/23

EC-CUBEv2.11.0 リリース

2012/5/31

EC-CUBEv2.12.0 リリース

2012/7/5

EC-CUBEv2.12.1 リリース

2012/8/30

EC-CUBEv2.12.2 リリース

2013/2/8

EC-CUBEv2.12.3 リリース

2013/5/22

EC-CUBEv2.12.4 リリース

2013/6/26

EC-CUBEv2.12.5 リリース

2013/8/29

EC-CUBEv2.12.6 リリース

2013/9/19

EC-CUBEv2.13.0 リリース

2013/11/19

EC-CUBEv2.13.1 リリース

2014/6/11

EC-CUBEv2.13.2 リリース

2014/11/7

EC-CUBEv2.13.3 リリース

2015/7/1 EC-CUBEv3.0.0 リリース
2015/10/23

EC-CUBEv2.13.4 リリース

2015/11/13

EC-CUBEv2.13.5 リリース

2018/10/11

EC-CUBEv4.0.0 リリース

2019/2/26

EC-CUBE ec-cube.co リリース

2019/10/31 EC-CUBEv2.17.0 リリース 
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起
2020/6/30  EC-CUBEv2.17.1 リリース

2020/2/24~2021/1/8

▲香水学園が侵害を受けていた時期

 

侵害を受けた時期から考えると、今回被害を受けた香水学園(運営者である有限会社プラネット)に、2019年末の経産省、あるいはイーシーキューブ社の注意喚起が届かなかったと思われます。

 

EC-CUBE2系ユーザは、国内のデータインシデントのここ数年の分析データから考えると、攻撃者に「一番狙われて」おり、言葉は乱暴ですが、彼らの「安定した収益源」となっています。

2系ユーザは、イーシーキューブ社の注意喚起にある、チェックリストを改めて確認する事を強くお勧めしますが、併せて2系よりも安全性の高い4系/co等のフレームワーク(他社のショッピングカートも含め)移転も検討すべきかと思います。

 

余談です。国内ではJavaScript(スキマー)被害程度で済んでいますが、海外ではより洗練されたMagecartの新たな攻撃手法が「大きな成果」を上げていると話題となっています。

threatpost.com

Webスキマーグループの最新の化身であるMagecart12は、「お気に入りアイコン」または「ショートカットアイコン」とも呼ばれるファビコンを模倣するために作成されたマルウェアによる攻撃を開始し続けています。

「Magento.pngという名前のファイルは、それ自体を「image / png」として渡そうとしますが、有効な画像ファイルに適切な.PNG形式がありません」とレポートは述べています。「侵害されたサイトに挿入される方法は、正当なショートカットアイコンタグを偽の.PNGファイルへのパスに置き換えることです。」

(中略)

Magecartはその戦術を進化させ続けています。先月、Sucuriの研究者は、Magecartの攻撃者が、Magento 2を実行している侵害されたeコマースサイトから盗み出されるまで、盗んだクレジットカードデータを.JPGファイルに保存していることを発見しました。

「偽の.JPGをクリエイティブに使用することで、攻撃者はWebサイトの所有者からあまり注目されることなく、収集したクレジットカードの詳細を隠して保存し、将来使用することができます」とSucuriのLukeLealは3月にこの発見について書いています。

そして、12月に、Magecartの攻撃者はホリデーショッピングシーズン中にPayPalトランザクションをハイジャックしました。

専門家は、サイバー犯罪が利益を上げ続ける限り、Magecartは進化を続け、攻撃を改善すると予想しています。

 (Threatpost記事より引用)※機械翻訳

 

詳しくは元記事(英語)をご覧頂ければと思いますが、国内で発生しているカード情報漏えいインシデントとは違うパターンでカード情報が持ち出されていますので、検知がより難しい点には注意が必要です。

また、PayPalも被害に遭っているというのも、警戒すべき情報かと思います。

 

Magecart(APT攻撃を得意とする犯罪集団)は海外のショッピングカートを対象にしている事が多いので国内被害が出ている訳ではないと思いますが、”収益が上がる”と分かると、いつ国内ECサイトに攻撃キャンペーンを仕掛けても不思議ではありません。

当たり前の事ではありますが、ECサイト運営者、あるいはショッピングカート提供事業者は、「狙われている」という事を常に意識し、海外の攻撃動向も意識して対策を強化していくべきかと思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

香水のイラスト

 

更新履歴