「コスモスオンラインストア」からのカード情報漏えい

この続きはcodocで購読

【キタきつね推奨事項】

2021年のカード情報漏えい発表件数は過去最悪のペースとなっています。漏えい件数の合計(現時点で約16万件）は、大型のインシデントが発生した2017年（約87万件）に比べると少ないですが、2017年が突出して多い事を考えるとカード情報非保持にしただけでは対策が不十分な現実が浮かび上がってきます。

大手ECサイトから中小ECサイトに攻撃がシフトしており、攻撃者は攻撃パターンが確立している（もしくは武器化されたツールを使っている）中で、今後も多くのECサイトが被害を受ける事が懸念されます。

被害を受けたサイトはEC-CUBE2系が圧倒的に多いですが、Magecartの攻撃パターンが多種多様である事を考えると、EC-CUBE2系の対策が進むと他のスキームの脆弱性が次に狙われると考えて準備をしておく事が望ましいと言えます。

ECサイトは、海外攻撃事例を考慮した多層的なセキュリティ対策を講じると共に、定期的に脆弱性診断（PCI DSS必須事項）を実施する事を推奨します。

■EC-CUBEバージョンの簡易推定表

リリース日	バージョン
2007/12/4	EC-CUBEv2.0 リリース
2008/4/10	EC-CUBEv2.1 リリース
2008/10/1	EC-CUBEv2.3 リリース
2009/5/19	EC-CUBEv2.4 リリース
2011/3/23	EC-CUBEv2.11.0 リリース
2012/5/31	EC-CUBEv2.12.0 リリース
2012/7/5	EC-CUBEv2.12.1 リリース
2012/8/30	EC-CUBEv2.12.2 リリース
2013/2/8	EC-CUBEv2.12.3 リリース
2013/5/22	EC-CUBEv2.12.4 リリース
2013/6/26	EC-CUBEv2.12.5 リリース
2013/8/29	EC-CUBEv2.12.6 リリース
2013/9/19	EC-CUBEv2.13.0 リリース
2013/11/19	EC-CUBEv2.13.1 リリース
2014/6/11	EC-CUBEv2.13.2 リリース
2014/11/7	EC-CUBEv2.13.3 リリース
2015/7/1	EC-CUBEv3.0.0 リリース
2015/10/23	EC-CUBEv2.13.4 リリース
2015/11/13	EC-CUBEv2.13.5 リリース
2018/10/11	EC-CUBEv4.0.0 リリース
2019/2/26	EC-CUBE ec-cube.co リリース
2019/10/31	EC-CUBEv2.17.0 リリース
2019/12/20	経産省注意喚起
2019/12/23	EC-CUBE注意喚起
2020/2/7～2021/4/22	▲コスモスオンラインストアが侵害を受けていた時期
2021/7/6	EC-CUBEへのクロスサイトスクリプティング攻撃（Water Pamola)についてJPCERT/CCから詳細のレポートが出ています。 ※EC-CUBEユーザ以外でも例えばサードパーティプラグイン等でXSSの脆弱性が出た場合、同様な攻撃につながる可能性もありますので留意下さい。
2020/6/30	EC-CUBEv2.17.1 リリース
2021/5/24 > 2021/6/29	EC-CUBE4系の緊急パッチ（EC-CUBE 4.0.5-p1）リリース　> 最新パッチ（EC-CUBE 4.0.6-p1) リリース ※クロスサイトスクリプティング（XSS）の脆弱性は、2系でも影響がある可能性がある為、2系ユーザも「攻撃の確認方法」を確認される事を推奨します。