生地・布の通販サイトからカード情報が漏洩した可能性があると2月末に公表されていました。※遅ればせながら2月分の不正アクセスインシデントを調査しています
scan.netsecurity.ne.jp
公式発表
・弊社が運営する「トマトオンラインショップ」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ(2/28, 3/8) 魚拓
2.個人情報漏えい状況
(1)原因
弊社が運営する「トマトオンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、不正ファイルの設置が行われたため。
(2)個人情報漏えいの可能性があるお客様
2021年1月22日~2022年10月3日の期間中に「トマトオンラインショップ」においてクレジットカード決済をされたお客様14,256人が対象です。
漏えいした可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
キタきつねの所感
少し前のカード情報漏えいインシデントを調べています。会社名やサイト名にトマトと書かれていたので野菜類を取扱っているECサイトかと思ったのですが、生地や布を販売している店舗でした。
1年半少しの侵害期間でカード決済した顧客が約1.4万人、個人情報が漏洩した顧客が8万人弱(カード顧客含)と公表されており、手芸分野では人気があるサイトだった事が伺えます。
現在のサイトは2022年10月にリニューアルされたサイトで、カード情報漏えい懸念の連絡をカード会社から受けたのが11月24日とされていますので、結果から言えば(新サイトでのセキュリティ向上が)”間に合わなかった”様です。
とは言え、侵害期間(~2022年10月3日)と、サイトリニューアル(魚拓サイトでは10月11日には新サイトの痕跡があります)が近いので、新サイトを立ち上げた事で侵害が”終わった”様にも見えます。
侵害を受けた旧サイトを調べてみると、魚拓サイトに侵害期間中(2021年1月22日~2022年10月3日)のデータ(2022年8月18日)が見つかりましたので、こちらを調査していきます。
旧サイトのトップページを見ると、使用しているカートシステムが(現在のものとは)違う事がデザインからも分かります。こちらのトップページのソースコードを見てみると・・・
最近見かける回数が若干少なくなった、EC-CUBE2系(v2.13)の痕跡が確認できました。
トマトのECサイトは、魚拓サイトのデータを見る限り、2013年から立ち上がっており、この際のバージョンはv2.4以下だった様です。
v2.13ヘの移行時期は魚拓サイトのデータが一部飛んでいるので正確には分かりませんが、2017年1月にはまだv2.4(以下)で、2020年5月にはv2.13であった様ですので、4年以上はv2.4を引っ張り、2019年12月に経産省が異例の注意喚起を出した後も継続してv2.13を利用していたと考えられます。
当然の事ながら、全ての2系(v2.13)利用サイトが被害を受けている訳ではありませんし、2系利用サイトでも開発元のイーシーキューブ社のサポート情報等を参考に多層防御でサイト利用を継続している所もあるかと思いますが、2系は4系やSaaS版(eccube.co)等と比べて古いセキュリティ設計思想で構築されている事を考えると、その利用リスクを十分に理解した上で継続利用をすべきであり、可能であればセキュリティ侵害のリスクの少ない最新のプラットフォームに早めに移行する事を検討すべきかと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
