Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「カタログギフトのハーモニック」からのカード情報漏洩

カタログギフト販売のECサイトからカード情報漏洩が発表されていました。

scan.netsecurity.ne.jp

 

公式発表

弊社が運営するカタログギフト販売ECサイト「カタログギフトのハーモニック」への
不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
(7/13)魚拓

2.個人情報漏えい状況
(1)原因
弊社ではクレジットカード情報を保有しておりませんでしたが、弊社が運営する「カタログギフトのハーモニック」のシステムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため
(2)クレジットカード情報漏えいの可能性があるお客様
2020年11月14日~2021年11月11日の期間中に「カタログギフトのハーモニック」においてクレジットカード決済をされたお客様最大28,700名で、漏えいした可能性のある情報は以下のとおりです。
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(3)個人情報漏えいの可能性があるお客様
2020年11月14日までの間に「カタログギフトのハーモニック」にて商品を購入又は会員登録されたお客様すべて(最大150,236名)で、漏えいした可能性のある情報は以下のとおりです。
・氏名
・住所
・電話番号
・メールアドレス
・性別
・生年月日

お客様が名入れ商品用にご入力いただいている場合は、商品の名入れに必要な以下の情報または一部も含みます(最大5,445名)。
・お子様の氏名
・お子様の性別
・お子様の生年月日
・出産時の体重
・出産時の身長

 

キタきつねの所感

先週の発表でしたが、調査時間が取れずに少し遅くなってしまいました。

※本日はあまり深堀調査できませんでしたので、サブスク記事ではなくオープン記事として公開します。

 

被害を受けたサイトを見てみると、現在サイトは稼働中ですがクレジットカードの利用を停止している様です。

カード情報だけでなく個人情報も漏洩しているので、攻撃に使われた脆弱性が判明するまでは(フォレンジック調査結果が出るまでは)、もしかするとサイトを停止した方が良かったのではないかと思いますが、監視強化などを緩和策で対応していたのかも知れません。

 

カード情報が漏洩するインシデントが発生した場合、発表が遅いといった形で外部から厳しい指摘が飛ぶことが多いのですが、小まめに発表するECサイトが存在する一方で、”大人の事情”ECサイト側が発表できないケースも多い様です。

参考:

スイーツパラダイス、クレカ情報漏洩と遅れた公表 なぜ防げなかったのか:不正アクセス誘う中小企業の弱み(2/4 ページ) - ITmedia ビジネスオンライン

フランス大使館文化施設、カード情報流出か 認識から1年公表せず | 毎日新聞

 

※直近半年(2022年上半期)のデータを見ても、インシデント検知からインシデント発表までは平均180日(約半年)かかっており、1年以上かかっているケースも4件(23件中)ありますので、被害がすぐに発表される傾向が強いEmotet感染や、ランサムウェア被害に比べてカード情報漏洩インシデントにおける情報公開が”特殊”だと思いますが、過去何年間も”同じ状況”ですので、半年程度であれば”大目”に見ても良いのではないかと個人的には感じています。

 

さて、カード決済はすぐに停止しなければいけないれども、事件発表は(大人の事情で)少し先になりそう・・といった場合、下記の様にECサイト『長期間のシステムメンテナンス』に入る事が多い気がします。

※逆に言えば、合理的な理由なく長期間のメンテナンス・サイト停止に入るECサイトを利用していた場合、自身のカード利用明細をチェックした方が良いかと思います。

 

魚拓サイトを使って侵害を受けたECサイトの歴史を見てみたのですが、ハーモニックは2003年から魚拓データが確認され、”老舗ECサイトと言っても過言では無いかと思います。

 

侵害を受けた期間(2020年11月14日~2021年11月11日)中の魚拓データ(2021年11月10日)が見つかったのでこちらを調べていきます。トップページのデザインは現行サイトとほぼ変わりません。

 

こちらのソースコードを見ると、EC-CUBEを利用している痕跡がありました。

 

残念ながら難読化されており、(私の知見不足で)EC-CUBEのバージョン推定までは出来ませんでしたが、2系のデザインでは無いので、4系辺りを利用していたのかと思います。

4系だった場合、2021年5月に共にゼロディのクロスサイトスクリプティングの脆弱性が出ていますので、時期的にはこうした脆弱性を突かれた可能性も考えられそうです。

www.ec-cube.net

 

仮にこの脆弱性だとすると、イーシーキューブ社の脆弱性発表にもう少し早く対応出来ていたら、被害が軽減されたかと思います。オープンソースソフトウェア(OSS)を利用しているユーザーは、リスク値の高い(高・中)脆弱性の発表をウォッチする、最近では従来以上にその重要性が増している気がします。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 カタログのイラスト

 

更新履歴

  • 2022年7月19日 PM