Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

東芝テックの「オムニEC」は”同じバージョン”を狙われた

調べてみた。 不正アクセス事件

東芝テック社(ジーアール社)の提供したサービスからの個人情報インシデントは、現在発表されている内容より各社の影響範囲が拡大する可能性がありそうです。

www.toshibatec.co.jp

 

関連発表(株式会社ジーアール)

「オムニECシステム®️」一部サーバーへの不正アクセスについて 

2021 年 9 月 1 日に「オムニ EC システム®️」ご利用のシステムユーザー様からのご利用障害についてのお問い合わせを受け、直ちに調査したところ、個人情報が流出した可能性を示す痕跡が発見されました。
詳細な調査の結果、オムニ EC システムの 2 台のサーバーに不正アクセスされ、個人情報が流出した可能性を示す痕跡を 9 月 3 日に確認しました。
直ちに歯止め対策を実施し、不正アクセスされた 2 台のサーバーに対応しました。また、不正アクセスのなかったサーバーにもさらに追加の安全対策を実施しました。

 

キタきつねの所感

先週末に複数の小売事業者からの個人情報漏えいインシデント発表が一斉に出ていました。

確認されたのは以下の5社⇒6社ですが、これらの会社は東芝テック社が販売したジーアール社のオムニEC(管理サーバー)が第三者不正アクセスを受けたと発表されています。

 

弊社「サミット予約ネット」委託先への不正アクセスによるお客様情報流出に関するお詫びとお知らせ(9/16 サミット株式会社)

お客様情報の流出の可能性に関するお知らせとお詫び (9/16 株式会社天満屋ストア)

お客様情報の流出の可能性に関するお知らせとお詫び (9/16 株式会社 丸久)

オンラインショップへの不正アクセスによる個人情報漏えいについて (9/17 株式会社 リウボウストア)

弊社が使用する「オンライン予約販売システム」への不正アクセスによるお客様情報の流出に関するお詫びとお知らせ  (9/16 株式会社マルヨシセンター)

 

※9/25追記

不正アクセスによる個人情報流出の可能性のお知らせとお詫びについて (9/17 グラントマト株式会社)

 

東芝テックジーアール社の発表内容は詳細調査中という事もあるとは言え、情報量がかなり少なく、今後更に影響を受けた小売業者(及びその顧客)が出てくる可能性もありそうですが、調べてみると個人情報の漏えいだけでなく、カード情報漏えいまで影響範囲が拡大する可能性を感じましたので、現在までに把握できた情報をまとめます。

※現在各社は当該Webサイトではクレジットカード情報を保有しておらず、カード情報漏えいは確認されていないと発表しています。

※本来【限定記事】にすべき調査内容ですが、今後の影響範囲拡大(の可能性)を考慮し、公開記事とします。

 

オムニECシステムは、ジーアール社が開発したオムニチャネルを実現するツール群の様で、東芝テックの店舗POS等とも連携が図れる様です。

f:id:foxcafelate:20210919083322p:plain

f:id:foxcafelate:20210919083348p:plain

 

各社の発表を見ると、今回影響を受けたとされる各社のシステムは、お中元やお歳暮、その他記念日など主に贈答品(ギフト)等の予約で使われるものだった様です。

・サミット「サミット予約ネット」
天満屋ストア「ギフトカタログの受注システム」
丸久「進物・カタログ受注システム」
リウボウストア「オンラインショップシステム」
マルヨシセンター「オンライン予約販売システム」

 

これらの影響を受けたサイト(と思われる所)は、稼働中の所と閉鎖中の所と両方ありました。

サミット

f:id:foxcafelate:20210919091323p:plain

 

天満屋

f:id:foxcafelate:20210919094814p:plain

Marukyu

f:id:foxcafelate:20210919091649p:plain

RYUBO ONLINE SHOP

f:id:foxcafelate:20210919092016p:plain

 

マルヨシセンター

少し探したのですが当該サイト(オンライン予約販売システム)が魚拓サイトを使っても確認できず、追加調査を打ち切りました。

 

但し、侵害があった時期について魚拓サイトで確認してみると、RYUBO ONLINE SHOPは過去データが確認できませんでしたので、現在のサイトが新たに立ち上げられた新サイトの様です。

 

旧サイトのURLが別に確認できたので、こちらを使って調査をしていきます。

※RYUBO ONLINE SHOP(旧)

f:id:foxcafelate:20210919092802p:plain

 

マルヨシセンターを除く侵害を受けた4社のサイト(トップページ)を、魚拓サイト等を使ってソースコード確認した所、以下の結果となりました。

 

①サミット(2017年9月18日~2021年4月6日) 調査魚拓データ:2021年3月6日

f:id:foxcafelate:20210919093527p:plain

 

EC-CUBE v3.0.11を利用していたと思われるJavaScriptの呼び出し

f:id:foxcafelate:20210919093626p:plain

 

天満屋(漏えい期間記載なし) 

※適切な魚拓データが見つからなかった(2016年頃のデータはありましたが・・・)ので、現行サイトソースコードを確認します。 

f:id:foxcafelate:20210919095212p:plain

 

EC-CUBE v3.0.11を利用していたと思われるJavaScriptの呼び出し

f:id:foxcafelate:20210919095252p:plain

 

天満屋ネットショップも展開していますので、こちらが侵害を受けたサイトかな?とも思ったのですが、公式発表内容とも少し違う(ギフトカタログとの記載)ので上記のサイトを調査しています。尚、現行のネットショップ”も”EC-CUBEv3.0.11を利用している様です。

 

丸久(漏えい期間記載なし) 調査魚拓データ:2021年3月3日

f:id:foxcafelate:20210919095519p:plain

 

EC-CUBE v3.0.11を利用していたと思われるJavaScriptの呼び出し

f:id:foxcafelate:20210919095947p:plain

 

リウボウストア(漏えい期間記載なし) 調査魚拓データ:2021年2月24日 

f:id:foxcafelate:20210919092534p:plain

 

EC-CUBE v3.0.11を利用していたと思われるJavaScriptの呼び出し

f:id:foxcafelate:20210919100159p:plain

 

 

インシデント発表をしている5社の公式発表(リリース)では、現時点での情報漏えいは会員の個人情報のみである事が書かれていますが、カード情報を狙う攻撃者に集中的に狙われているEC-CUBE(3系)を利用していた事から考えると、カード情報の漏えいまで”影響範囲”が拡大する可能性を感じます。

 

ジーアール社侵害検知は9月1日ですので、各社現段階での第一報であって、今後フォレンジック調査進展によるカード情報侵害の有無によっては、各社から続報が出される事になるのかと思いますが、サミット及び天満屋の公式発表では(初報として)カード情報の流出はないと読み取れる(断定されている)内容なのは、大丈夫かな?と少し心配になってしまいます。

※カード情報非保持のECサイトであっても、カード情報がスキマー(不正なJavaScript)によって窃取される=カード情報が流出する可能性は存在します。

 

サミット

f:id:foxcafelate:20210919101314p:plain

 

天満屋

f:id:foxcafelate:20210919101614p:plain

 

丸久 ※事実を書いているだけで断定はされていません

f:id:foxcafelate:20210919101859p:plain

 

リウボウストア 

※現時点でのカード情報漏えいリスクを一番分かりやすく対外発表されていると思います。第三者機関=フォレンジック調査会社を指しているものと思います。

f:id:foxcafelate:20210919102044p:plain

 

マルヨシセンター 

※カード情報には触れてませんが、公式発表の冒頭部分に「現時点で判明」と書かれている事から、仮にカード情報が漏えいしていた場合は続報で修正すれば整合が取れる内容となっている様に思えます。

f:id:foxcafelate:20210919102431p:plain

f:id:foxcafelate:20210919102342p:plain

 

各社のリリース内容を見る限り、現在の対応について、最も丁寧に説明しているのがリウボウストアの公式発表です。

<2.個人情報漏えいの経緯について>
東芝テック株式会社の委託先である株式会社ジーアール社によると、2021年9月1日に ジーアール社のジーアール社の専用サーバーでの調査が開始されました。
調査した結果、情報漏えいの痕跡を発見し、歯止め対策を同時並行で行いながら拡大調査が開始されました。
上記の調査にてジーアール社の共用サーバーを利用する複数の企業において個人情報を抜き取ることができる第三者による不正アクセスが認められました。
同年9月4日にジーアール社より情報漏えい件数・内容の報告があり当社として今回の対応に至りました。

 

この公式発表では「※クレジット情報を不正に書き出すプログラムは設置されておりませんでした」と書かれているので、被害を受けた会社の会員情報(個人情報)だけが盗まれたという可能性も考えられますが、一般的には、(名が知れた小売事業者)のECサイトから個人情報を窃取するだけの攻撃者というのは”少数派”であり、カード情報窃取を狙う攻撃者の方が大多数を占めるかと思います。

 

その事を”予感させる”記載が、サミットの公式発表にありました。

f:id:foxcafelate:20210919104257p:plain

「本件ウェブサイトと同等のサービスを利用している他の複数小売事業者において情報流出に伴うクレジットカード不正利用の懸念がある旨、連絡を受けました。」

の記載です。

 

カード情報が漏えいしただけの場合は「不正利用」とは書かれないと思いますので、サミット以外の小売事業者で「不正利用」が既にされておりフォレンジック調査の結果、そうした続報が各社から出てきてしまう可能性は十分考えられます。

 

(以下、推測が過分に入ります)

あまりインシデントの詳細情報が開示されていないので、ジーアール社のセキュリティ対策については、不十分だった気がします。

<3.対応内容について>
ジーアール社としては、毎月システムチェックを実施し、2ヶ月に1度プログラム改修セキュリティーの強化対策を実施していたとの報告を受けております。
今回の不正アクセスの事象が発見されてからは、9月6日に追加対策として15分おきの攻撃プログラム監視脆詳細については、東芝テック株式会社、株式会社ジーアールホームページにてご確認ください。

リウボウストア公式発表より引用)

 

その1つがEC-CUBE3系の利用バージョンです。3系最新バージョンは3.0.16ですが、被害を受けたサイトが利用していたと推定されるバージョンは3.0.11です。このバージョンは2016年リリースであり、事実上3系は開発を終了している事を合わせて考えると、『2か月に1度のプログラム改修』なるものが、何を意味していたのか?ジーアール社と、それを監督する立場であった東芝テック社は、説明が難しいのではないでしょうか。

 

バージョンアップ、あるいは他のフレームワークEC-CUBEで言えば4系や.co)への移行はコストや時間がかかりますので、小売事業者側がその事を許可しなかったという事も想定されますが、少なくても4社で同じバージョン(v3.0.11)であった可能性が高い事を考えると、小売事業者に対し、ジーアール社や東芝テック社がその必要性(重要性)を”説明をしてなかった”可能性の方が高い気がします。

 

 

※9/25追記(グラントマト)

グラントマト直販サイトを見てみると、メンテナンス中の表記が出てくるので、こちらが侵害を受けたサイトだと思われます。公式発表には侵害期間等の被害詳細が書かれて無いので、直近のデータを確認していきます。

f:id:foxcafelate:20210925063003p:plain

 

こちらのサイトの直近の魚拓データ(2021年8月14日)を確認しましたが、同じ(EC-CUBEv3.0.11)痕跡がありました。

f:id:foxcafelate:20210925063259p:plain

 

 

※続報が入りましたらこの記事を更新、または新しく記事を書くかも知れません。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 いろいろな掛け紙をかけた贈り物のイラスト

 

更新履歴

  • 2021年9月19日 AM