「エンラージ商事オフィシャルショップ」からのカード情報漏洩

カー用品のECサイトからカード情報が漏洩した可能性があると発表されていました。

※11月分に遡って調査しています。

scan.netsecurity.ne.jp

公式発表

・弊社が運営する「エンラージ商事オフィシャルショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ (11/21) 魚拓

2.個人情報漏洩状況

(1)原因

　弊社が運営する「エンラージ商事オフィシャルショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2021年5月16日～2022年5月20日の期間中に「エンラージ商事オフィシャルショップ」においてクレジットカード決済をされたお客様2,432名で、漏洩した可能性のある情報は以下のとおりです。

・ECサイトの認証情報（メールアドレス、パスワード、電話番号）

・カード番号

・カード有効期限

・セキュリティコード

キタきつねの所感

※今年下半期のカード情報漏洩インシデント調査をサボっていて申し訳ありません。少し時間の余裕が出来始めたので追って他のインシデントも遡って記事を書けたらと思っています。

被害を受けたECサイトを見ると、（カード決済は停止している様でしたが）現在もECサイト自体は稼働していました。

1.経緯

2023年2月21日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023年2月24日弊社が運営する「エンラージ商事オフィシャルショップ」でのカード決済を停止いたしました。

トップページのソースコードを見ると、EC-CUBEを（現在のサイトは）利用している様です。（URL構成から見ると4系と推測されます）

とは言え、侵害期間中（2021年5月16日～2022年5月20日）がどうだったかは分かりませんので、魚拓サイトを使って調べてみます。

侵害期間中のデータ（2022年5月16日）が見つかりました。

デザインが現行サイトと同じなので、恐らくEC-CUBE（4系）かと思いますが、念のためソースコードをチェックしてみると、やはり4系を利用していた様です。

利用していたと推測される4系の細かいバージョンまでは分かりませんが、今回の侵害期間の開始が2021年5月16日なので、この時点までにリリースされていたのはv4.0.5（2020年9月15日リリース）となります。

※侵害開始の少し後（2021年6月22日と、2021年5月7日）にクロスサイトスクリプティングの脆弱性が２つ公表（修正）されており、特に5月の『高の脆弱性』は、0ディで攻撃が複数確認されていたと公表されていますので、こちらが原因だった可能性が高い様に思います。

www.ec-cube.net

EC-CUBE利用サイトのインシデントでは、2系や3系の侵害が多いのですが、4系サイトでも侵害が去年あたりから増えています。最新の4系では（一般的には）セキュリティは強固になる事が期待できますが、危ない脆弱性（0ディ）も出てくる事もありますので、EC-CUBEに限らずですが、ソフトウェアベンダーが提供している脆弱性情報については定期的に確認する事を強くお勧めします。

参考：

www.ec-cube.net

補足：4系のバージョンのリリース情報（細かいバージョンアップは省略）

www.ec-cube.net