「ボルドープリムール」「ボンルパ」からのカード情報漏洩

ワイン等の通販サイトからカード情報漏洩した可能性があると発表されていました。

公式発表

・弊社弊社が運営する「ボルドープリムール」「ボンルパ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ（12/7）魚拓

2.個人情報漏洩状況
(1)原因
弊社が運営する EC サイト「ボルドープリムール」「ボンルパ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーショ
ンの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様
2021 年 3 月 17 日～2023 年 7 月 28 日の期間中に「ボルドープリムール」「ボンル
パ」においてクレジットカード決済をされたお客様 974 名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
併せて、データベース上に保管されていた個人情報も漏洩した可能性があり、可能
性のある部分は下記となります。
・氏名
・会社名
・住所
・電話番号
・FAX 番号
・メールアドレス
・生年月日

キタきつねの所感

※今年下半期のカード情報漏洩インシデント調査をサボっていて申し訳ありません。インシデント公表があった際には裏では調べていたりするのですが、記事を書けておりませんでした。少し時間の余裕が出来始めたので追って他のインシデントも遡って記事を書けたらと思っています。

魚拓サイトを使って調べてみると、今回被害を受けた徳岡は2001年にはECサイトを立ち上げており、ワインECサイトの”老舗”だった様です。

しかしECサイトとして歴史が長くても、残念ながらセキュリティ対策がしっかりしている事とイコールではありません。

今回侵害を受けた2サイト（「ボルドープリムール」「ボンルパ」）は閉鎖している為、魚拓サイトを使って調査していきます。

侵害期間中（2021年3月17日~2023年7月28日）の魚拓データがありましたので、こちらを見ていきます。

トップページのソースコードを見てみると・・・EC-CUBE3系（v3.0.16）を利用していた様です。以前は2系サイトの侵害が大多数を占めていましたが、最近は3系、4系が増えている気がします。

EC-CUBEv3.0.16のリリースは2018年4月で、3系は2019年に3.0.18まで出ている事を考えると、EC-CUBEのアップデートをしてこなかった（脆弱性リストをウォッチものしていなかった）ものと推測されます。

※侵害期間は2年以上となりますので、EC-CUBEの更新プログラム（バージョンアップ）や、ベンダーから出されていた注意喚起（他EC-CUBE3系サイトの侵害発表）は見ていなかったのだろうと思われます。

※EC-CUBE3系で侵害の原因となった脆弱性をリストから考えてみると、2021年6月に公表されたクロスサイトスクリプティングの脆弱性(JVN#95292458)が怪しい気がします。

www.ec-cube.net

現在被害を受けたECサイト「ボルドープリムール」「ボンルパ」は閉鎖している様で、今後は後継サイト「徳岡グランヴァン」に移行した様です。

こちらのサイト（のソースコード）を見ると、EC-CUBEではなく、Shopifyを利用している様です。ECサイトにおいてカード情報漏洩が発生するとPCI DSS準拠が求められる事になりますが、ShopifyはPCI DSS準拠のサービス（SaaS）なので、短期にECサイトを再開するには良い選択だと思いますが、インシデントが発生してから泥縄で対応するのではなく、もう少し前にEC-CUBE3系の脆弱性に気づいていれば、被害を抑えられたのではないかと思います。