Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

かがわ物産館「栗林庵」への不正アクセス

かがわ県の物産館のWebサイトが不正アクセスを受け、詳細調査の為にサイトを閉鎖すると発表していました。

www.pref.kagawa.lg.jp

1.経緯
令和4年1月18日(火曜日)17時30分頃、本Webサイトが閲覧できなくなりました。同日中に、一旦、運用再開しましたが、その後、サイトの保守・運用委託事業者の調査の結果、不正アクセスが確認されたことから、19日(水曜日)19時50分頃、サイトを閉鎖しました。

2.影響等
・サーバー内にはオンラインショップ利用者の個人情報等が保管されていますが、それらの外部への流出に関する情報は、これまでのところ寄せられていません
・ホームページの閲覧情報への改ざんは行われていません。

3.今後の対応
・サーバーへの不正アクセスの内容や個人情報の流出の可能性について確認し、再発防止策を講じます。

4.Webサイトの運用再開時期
・ 詳細な調査を行い、再発防止策を講じた上で運用再開することとしており、現時点では未定です。

 

キタきつねの所感

現状被害が確認されてないとの事なのですが、気になるリリースが出ていました。

物産館のWebサイトという事で当然の事ながらECサイトを持っている書かれており、不正アクセスによって”何も影響が無かったのか”という点では、Web閲覧が出来なくなった事以外にも影響が出ている可能性を感じます。

 

魚拓サイトで見てみると、今回被害を受けた「栗林庵」のトップページはこんな感じでした。

f:id:foxcafelate:20220126160609p:plain

いくつかのページがぶら下がっていますが、メインコンテンツはオレンジ色で右上と、左下に書かれているオンラインショップという構成になっています。

 

 

現在のHPは、以下の様な告知が入っており、恐らくトップページが閲覧不能になって事で、メンテナンス作業を行った際に不正アクセスの痕跡を見つけたという事なのかと思われます。

f:id:foxcafelate:20220126161044p:plain


リンク先であるオンラインショップ側にも同様な告知が出ています。この記載からオンラインショップ側にも不正アクセスがあった、と読み取れます。

f:id:foxcafelate:20220126161148p:plain

 

詳細調査を行う為に、サイト閉鎖をすると書かれている事から、詳細については続を待つ必要があるのかと思いますが、魚拓サイトを使って”少し調べてみました”

 

魚拓サイトでは2021年10月6日のデータが残っていましたので、こちらを使って調べてみると、トップページは以下の感じだった様です。

 

f:id:foxcafelate:20220126161704p:plain

 

トップページのソースコードを見てみたのですが、特に気になるJavaScriptファイルは無さそうだったのですが、名前が怪しいファイルが1つ(import.js)ありました。

f:id:foxcafelate:20220126162459p:plain

このファイルを開いてみると・・・当たりでした。EC-CUBE2系でよく見かけるJavaScriptファイルが並んでいます。

f:id:foxcafelate:20220126162610p:plain

 

site.jsを開いてみると年号が2013年でしたので、v2.12辺りを使用していたと推測されます。

f:id:foxcafelate:20220126162723p:plain

 

EC-CUBE2系を使用していたECサイト不正アクセスがあったとすると、今後のフォレンジック調査結果次第ではありますが、普通に考えると、カードスキマーを仕掛けられていた可能性が高い気がします。

 

しかし公式発表には、現時点ではそうした漏洩の兆候は確認されていないと書かれています。

2.影響等
・サーバー内にはオンラインショップ利用者の個人情報等が保管されていますが、それらの外部への流出に関する情報は、これまでのところ寄せられていません

 

この部分について、勝手な想像をするのであれば、攻撃者がカード情報スキミングをしたカード情報を、”まだ不正利用していない”(Dark市場で販売していない)からではないかと思います。

攻撃側に何らかのミスがあって、意図せずトップページ閲覧不能にしてしまった結果、不正アクセスが検知された。そんな様な背景だったとすれば辻褄があってくる気がします。

 

余談です。今回侵害を受けたWebサイト(栗林庵)を構築したのは、ECサイト(魚拓)の下に運営代行業者としてのクレジットがあった、株式会社ゴーフィールドだと思われます。

f:id:foxcafelate:20220126163742p:plain

 

こちらの会社は、香川県本社でWeb制作実績も香川県を中心に多数ある様です。

この推測があっているのだとすれば、EC-CUBE(特に2系)を利用しているECサイトでカード情報を狙った攻撃が頻発している事を把握し、依頼主である香川県に対してバージョンアップ等を助言すべき立場だったのではないかと思います。

制作実績 | 香川県高松市でホームページ/Web制作なら株式会社ゴーフィールド

 

併せて、(まだ調べてはませんが)数多くあるWeb制作実績の中に同様な脆弱性を抱えるECサイトが眠っているかも知れません。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 香川県のキャラクター

 

更新履歴

  • 2022年1月26日 AM(予約投稿)