福岡県のコーヒー店のECサイトからカード情報が漏洩した可能性があると2月28日に公表されていました。※遅ればせながら2月分の不正アクセスインシデントを調査しています
scan.netsecurity.ne.jp
公式発表
・弊社が運営する「「きれいなコーヒー」の通販|オアシス珈琲」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ (2/28) 魚拓
2.個人情報漏洩状況
(1)原因
弊社が運営する「当社通販サイト」のシステムの一部の脆弱性をついたことによる
第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたた
め。
(2)個人情報漏洩の可能性があるお客様
2021 年 9 月 21 日~2022 年 7 月 20 日の期間中に「当社通販サイト」においてクレ
ジットカード決済をされたお客様 3836 名で、漏洩した可能性のある情報は以下の
とおりです。
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
キタきつねの所感
オアシス珈琲は新サイトをBASE上に3/15にプレオープンしていました。こちらが侵害を受けたサイトという訳ではないので、いつもの様に魚拓サイトを使って旧サイトを調べていきます。
侵害期間中(2021年9月21日~2022年7月20日)の2022年6月24日の魚拓データが見つかりましたので、こちらを見ていきます。
こちらのトップページのソースコードを確認した所・・・EC-CUBEの痕跡を確認しました。
3系か4系か判別が出来なかったのですが、「カート」部分が新規会員登録やログインと並んでいないのは3系に多い特徴なのですが、ソースコードの書き方を見ると4系のデモサイトと似ているので(恐らく)4系だったのかと思います。
オアシス珈琲のECサイロは2001年から存在が確認され、2020年6月の魚拓データを確認するとEC-CUBE3系(v3.0.15)を利用している痕跡が確認できます。
EC-CUBEの中では最新のプラットフォームである4系を利用していて被害を受けたとの推定が合っているとすると、オアシス珈琲は脆弱性対応を(他の侵害を受けたECサイトと比べて)してきた中で被害を受けた様に思えます。
イーシーキューブ社が公開している脆弱性リストの中から、侵害開始時期(2021年9月21日)に近いものを探してみると、4系の脆弱性の中では2021年5月に公開されたXSSの脆弱性(危険度:高)(JVN#97554111)の可能性が高い様に思います。
www.ec-cube.net
4系で2021年に出た脆弱性には他にもv4.0.6特有のアクセス制限不備の脆弱性があるので、こちらの脆弱性が突かれた可能性も考えられますが、これが”当たり”だとすれば、公式リリースにもう少しその辺りの経緯が書かれていても不思議では無い気がしますので、4系の少し古いバージョンを利用していてパッチ更新が遅れた(気づかなかった)という可能性の方が高い様に思います。
上記の推測が合っているとすればですが、比較的パッチ対応はしていたサイトであった様に思えるだけに、あと少しだけベンダーが公開している”脆弱性情報”への感度を上げていれば被害に遭わなかったかも知れません。
インシデントに「たら・れば」はありませんが、SaaSサービスを利用していない場合、影響度の大きい脆弱性情報については常にウォッチする事、ソフトウェア部品表(SBOM)を導入しないまでも、サイト運営では必須になりつつある気がします。
※本業の方が忙しくなりカード情報漏えいインシデントの調査が遅れていましたが、ようやく追いついてきたかと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
