Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

スイーツパラダイスの不正アクセス被害

スイーツパラダイスの通販サイトを利用したユーザが、クレジットカードが不正利用されたケースが多発している様です。

www.itmedia.co.jp

 Twitterでは9日午後8時ごろ、11月下旬に開催されたオンラインゲーム「原神」のコラボカフェイベントなどの際に同サイトでクレジットカード決済を行った人々から、上記のような報告が上がり始めた。海外のショッピングサイトやAppleなどの名義で身に覚えのない引き落としがあったという。

 ITmedia NEWS編集部が井上商事に問い合わせたところ「Twitterでの報告を見て気付き、被害が拡大しないよう公式通販サイトをメンテナンス中とした」と説明。「問題の原因が当社にあるのか、別のところにあるかを含めて現在調査中」としている。

 

公式発表(スイーツパラダイス)

・特に見当たらず(新着情報)(コラボ情報

 

キタきつねの所感

スイーツなどが食べ放題サービスなどで有名なスイーツパラダイスのECサイトを利用したユーザが、カードを不正利用されたとTwitter等で多数発信しています。スイーツパラダイスはコラボ企画を頻繁に行っており、被害を報告したTwitterユーザの中には、11月下旬に開催された原神のコラボイベントでクレジットカード決済をした方が多かった様です。

 

コラボ情報がGame8(及びスイーツパラダイスHPに)ありましたので、下記引用しますが、

f:id:foxcafelate:20211211103515p:plain

 

10月に店舗コラボ(限定グッツ販売)があり ⇒ スイーツパラダイス通販サイトでも10月下旬~11月上旬にかけてグッツ販売をしており、時期的に考えると10月下旬までには通販サイト側にカード情報を窃取するスキマーが仕掛けられ、不正利用被害に遭われた方が多数出たのかと思います。

f:id:foxcafelate:20211211102909p:plain

 

Twitterでざっと探してみると、被害報告をされている方の投稿がいくつもありました。普通だと、こうした直接的に被害に遭われた(であろう)方の情報が表に出てくる事があまりないのですが、投稿には被害(請求してきた)サイトの情報も開示していた方もいたので、こちらを見ていきます。

 

 

■上記投稿等から読み取れる事 ※以下、想像を過分に含みます

①不正検知回避

まず不正請求額は3万円以下(を繰り返す)が多い様です。ここは、カード会社の不正検知を潜り抜けようとする攻撃者の意図が感じられます。

②攻撃時期

上記の投稿における不正購買期間は11月20日~12月10日となっています。この事からスイーツパラダイスのECサイトは、最長だと1か月弱侵入されて(カード情報を窃取されて)いたと見られます。

※限定販売期間は~11月上旬でしたので、単純に考えると、カード情報窃取から不正利用開始まで2-3週間前後の”差分”があるのですが、これは攻撃者が他の攻撃アクターにカード情報を”販売した”事による差分ではないかと推測します。

③被害を受けたユーザは「原神」だけではなさそう

スイーツパラダイスのECサイトは、限定グッツだけではなく、その他のグッツも同じサイトで販売していたと推測されます。

この推測が合っているとすれば、カード情報は原神グッツ以外を購入したユーザからも”窃取されていた”可能性が高い気がします。

※下記は、原神のグッツ販売のものではありませんが、Googleのキャッシュに他のコラボデータが残っていました。こちらを見ると、別な商品も(同時期に)販売している事が分かります。

f:id:foxcafelate:20211211110458p:plain

 

④海外通販サイトとAppleでの不正利用

AppleApple.com)の不正購入が何であったのかは上記の投稿画像からは読み取れませんが、怪しげなURLの海外通販サイトの名前がいくつか出てきますので、海外の加盟チェックが甘いECサイトでカード情報の”現金化”を狙われた可能性があります。

 

■海外サイトについて

他にもあるかと思いますが、被害投稿から確認できたサイトは以下の七つです。

①GFAKD[.]FUN  (アクセス不可)

②VFTPR[.]TOP (アクセス可)

③GJKHVCI[.]FUN(アクセス可)

④OCLTIK[.]SITE(アクセス可)

⑤LIHXTU[.]ICU (アクセス不可)

⑥EARSEV[.]TOP(アクセス可)

⑦ASTRIDZ[.]SHOP(アクセス不可)

 

この内、サイトへのアクセスが可能であった4サイトを見ていきます。

②VFTPR[.]TOP サイト住所:ブタペスト(ハンガリー

f:id:foxcafelate:20211211112240p:plain

Whois検索:登録:2021/11/9 登録者:Alibaba.com(SP) 登録国:中国(CN)

f:id:foxcafelate:20211211112455p:plain

 

■トップページの一部ソース

f:id:foxcafelate:20211211112946j:plain

 

③GJKHVCI[.]FUN サイト住所:ハルデンベルグ(オランダ)

f:id:foxcafelate:20211211113111p:plain

Whois検索:データ取得できず

■トップページの一部ソース

f:id:foxcafelate:20211211113423j:plain

 

④OCLTIK[.]SITE サイト住所:ペルカータ(ハンガリー

f:id:foxcafelate:20211211113628p:plain

Whois検索:データ取得できず

■トップページの一部ソース:他と類似性なし

 

⑥EARSEV[.]TOP サイト住所:ブタペスト(ハンガリー

f:id:foxcafelate:20211211114421j:plain


Whois検索:登録:2021/10/29 登録者:Alibaba.com(SP) 登録国:中国(CN)

f:id:foxcafelate:20211211114909p:plain

■トップページの一部ソース

f:id:foxcafelate:20211211114755j:plain

 


不正カード購入に利用されたとみられる、稼働が確認できたECサイト4つの内、3つがほぼ同じ痕跡を有していました。時期的にもカード情報を窃取し始めた時期と、偽?サイトの立ち上げ時期がほぼ同じなので、これらののサイトが攻撃者に息がかかったサイトであり、カード情報を現金化(ロンダリング)する事を目的としたサイトである可能性を感じます。

また、登録国が3つ全てCN(中国)だったのも・・・アクワイアラー(カード会社)がどこか分かりませんが、(審査後にすぐHPを入れ替えた可能性も考えられますが)加盟店審査が甘い所を、攻撃者側にうまく利用されている気がしてなりません。

 

最後に侵害を受けたECサイト(スイーツパラダイス)を調査します。

IT メディアの記事にも書かれていましたが、現在被害を受けたサイトは閉鎖中です。

f:id:foxcafelate:20211211120135p:plain

 

魚拓サイトを探してみると、2021年12月1日のデータが見つかりました。

Twitterで不正報告が挙がった事を検知してサイトを閉鎖した様です)

f:id:foxcafelate:20211211120435p:plain

 

 

こちらのトップページのソースコードを見ると・・・EC-CUBE2系(v2.13)を利用していた事が分かります。

f:id:foxcafelate:20211211120603p:plain

 

f:id:foxcafelate:20211211120709p:plain

 

最近は3系サイトの侵害が多かったのですが、まだまだEC-CUBE2系も「現役」で稼働しており、その脆弱性を攻撃者は虎視眈々と狙っている事が伺えます。

現時点でスイーツパラダイスはフォレンジック調査中かと思いますので、数か月後に、どんな状況だったのかが、公式発表(答え合わせ)されるかと思いますが、状況から考えると、原神コラボの限定グッツを購入したユーザーと、それ以外にも被害を受けた方が出てくるのではないかと思います。

 

※スイーツパラダイスの通販サイトでここ数か月の間にカード決済を行った方は、カード利用明細を確認される事を強くお勧めします。

 

※本記事掲載情報の一部を、@ozuma5119さんからご提供頂きました。この場を借りて御礼申し上げます。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 スイーツビュッフェ・ケーキバイキングのイラスト

 

更新履歴

  • 2021年12月11日 AM