Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「ブルークレールWebサイト」もEC-CUBE

PCI DSS 調べてみた。 不正アクセス事件 クレジットカード情報漏えい事件

オーガニック化粧品などを販売する「Blue Clair Organics」の通販サイトが不正アクセスを受けカード情報を漏えいした可能性があると発表していました。

www.security-next.com

 

公式発表

不正アクセスによる 個人情報漏えいに関するお詫びとご報告 

この度の不正アクセスで、1863名のお客様のカード情報が漏洩した可能性がございます。個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

(中略)

2.個人情報漏洩状況
(1)原因
 弊社が運営するブルークレールWebサイトのシステムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩
の可能性があるお客様
2020年3月30日~2021年1月29日の期間にブルークレールWebサイトにおいてクレジットカード決済をされたお客様で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード 

 

キタきつねの所感

まもなく6月、緊急事態宣言もどうやら延長しそうな中、コロナの猛威程ではありませんが、カード情報漏えいインシデントもなかなか減ってきません。

大きなインシデントが多発した2年~3年前に比べて、漏えい件数こそ少ないものの、2021年は件数ベースでは”横ばい”で推移しており、攻撃者が”日常的”に複数のECサイトにスキマーを仕掛けている事が想像されます。

攻撃手法は、インシデントの公式発表では”ほぼ公開されません”が、同じ手口が多い事が想像されます。それだけ既知の脆弱性を放置するECサイトが多いという事なのだろうと思いますが、セキュリティを軽視する事により、大きなしっぺ返しを受ける可能性があるのが、カード情報漏えいインシデントなのだという事について、アクワイヤラー(カード会社)や決済代行会社は、繰り返しECサイトを啓蒙すべきかと思います。

 

前置きはさておき、いつもの様にサイトを調査していきます。現在も通販サイトは稼働していますが、カード決済は停止している様です。

f:id:foxcafelate:20210525091224p:plain

 

こちらのソースコードを見てみると、何やら見覚えがあるJavaScript呼び出しがありましたので、こちらの1つを開いてみると・・・

f:id:foxcafelate:20210525091638p:plain

 

Copyrightの年号から考えると、EC-CUBE(v2.13)現サイトでも利用している様です。

f:id:foxcafelate:20210525091730p:plain

 

とは言え、侵害を受けた時期とは違う可能性もあるので、魚拓サイトを使って更に調べていきます。

 

侵害期間中(2020年3月30日~2021年1月29日)内の、2020年11月27日の魚拓データが見つかりましたので、こちらを見てみると、少しソースコードの構成は違いますが、EC-CUBEJavaScript呼び出し部分は同じで、こちらの1つを開くと・・・

f:id:foxcafelate:20210525092145p:plain

 

v2.13の証跡が確認できました。

f:id:foxcafelate:20210525092452p:plain

 

EC-CUBEの2系について、もちろん現段階でもサポートがされているバージョンですのでそのまま利用する事に対して、侵害を受けた穴を塞ぎ、監視強化やWeb改ざん検知等の追加対策をしているかと思いますので、何ら問題はないと思います。

しかし、将来的には、より安全性が高いフレームである4系やco等(又は他のフレームワーク)への移行を検討すべきかと思います。元々EC-CUBEv2.13のサポート終了は、2015年7月⇒2017年7月⇒当面サポート継続と、ユーザの強いリクエストを受けてEOLガ延長されてきた歴史がある事を考えると、”最新の注意を払って”(*セキュリティ対策強化の上で)利用すべき段階にあるバージョンだと言っても過言ではありません。

www.ec-cube.net

 

誤解を恐れずに言えば、実装ミスや潜在的な脆弱点について、既に”攻撃者”側が熟知している事が、こうして2系が集中的に狙われてカード情報漏えいインシデントを多発している背景にあります。

ECサイトのデザインや商品は頻繁に更新するけれども、基幹フレームワークEC-CUBE)のバージョンは更新せず、経産省やイーシーキューブ社の注意喚起を無視して(気づかずに)古いバージョンをそのまま使い続けるECサイト側の責任も大きい、最近の侵害事件はそれを物語っている気がしてなりません。

※個人的な印象ですが、初心者レベルの攻撃者のお小遣い稼ぎに多くのECサイトが”協力”してしまっている様に見えます。

 

再掲となりますが、セキュリティを軽視するECサイトは、2008年と古いですが、サウンドハウス社が”敢えて”残してくれていると思われる、発表を熟読すべきかと思います。

不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ (2008年4月18日、株式会社サウンドハウス

 

※お時間が無い方は、サウンドハウス創業者の中島尚彦さんの以下の講演記事をご覧ください。今でも気づきが多い内容です。(*是非、ECサイト管轄の経営層の方に読んでもらいたい内容です)

internet.watch.impress.co.jp

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 化粧水をつけている人のイラスト

 

更新履歴

  • 2021年5月25日 AM