フォックスエスタ

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの私設研究所。執筆、取材、講演依頼等はキタきつね (foxcafelate@gmail.com)まで。

【自主調査レポート】EC-CUBEサイトの脆弱性調査結果

ホワイトペーパー

EC-CUBEサイトの脆弱性調査結果サマリー(2019/10/6)

 

※制作/開発会社によって管理ログイン画面の設定ミス頻度が違っている様です。

※実績のある制作会社であるから、セキュリティ(設定)が必ずしも正しくしているとは限りません。

 

EC-CUBEサイトをこちらから1,828サイトを簡易調査しました。

調査期間は2019年7月~8月末で、9月22~24日の時点で、実績ページに追加されたサイトを評価・追記し、重複サイトを削除すると共に、初期調査で脆弱性が検出されたサイトに脆弱性が残っているかどうかを再チェックしました。

調査方法は、URL実在調査(※EC-CUBEの初期設定における想定ページが実在するかどうか)となります。尚、不正アクセスと判断される行為は行ってませんので、脆弱性が検出されたEC-CUBEユーザサイトについて、必ずしも即座に不正アクセス被害を受ける可能性がある訳ではありません。

 

===総合評価===

EC-CUBEユーザにおけるカード情報漏洩事件が2018年から続出しているのは、下記に検出した脆弱性を突かれている可能性が強く疑われます。

 

チェックした際にECサイトを閉鎖している(別なサイトになっている)と思われるサイトを除くと、実在するEC-CUBE構築サイトが1,103サイトありましたが、全体の49%(541サイト)しか「問題がない」(※初歩的な設定が出来ている)と推定されるサイトはありませんでした。残りの51%は、管理者設定にミスがあると判定しました。

 

以下はその詳細結果となります。

 

f:id:foxcafelate:20191006194744p:plain

EC-CUBE実績サイトの現状(N=1828)
    サイト数 比率
    1828  
  有効サイト 1103 60.3%
  閉鎖サイト 725 39.7%

 

 

f:id:foxcafelate:20191006195800p:plain

2 管理者アクセス保護について(N=1103)
    サイト数 比率
  不備が検出されたサイト 562 51.0%
  不備が検出されなかったサイト 541 49.0%

 

 

f:id:foxcafelate:20191006200130p:plain

3 EC-CUBE管理者アクセス不備について(N=1103)
    サイト数 比率
  不備が検出されたサイト 539 48.9%
  不備が検出されなかったサイト 564 51.1%

 

 

f:id:foxcafelate:20191006200243p:plain

4 管理者アクセス保護不備の種類

※重複有

  
    サイト数 比率
  EC-CUBE管理者アクセス保護の不備 539 77.8%
  WordPress管理者アクセス保護の不備 66 9.5%
  Basic認証アクセス保護の不備 72 10.4%
  その他認証アクセス保護の不備 16 2.3%



f:id:foxcafelate:20191006200314p:plain

5 管理者アクセス保護不備の内訳(N=562)
    サイト数 比率
  クレジットカード決済対応 397 70.6%
  クレジットカード決済未対応 165 29.4%

 

 

f:id:foxcafelate:20191006200338p:plain

6 クレジットカード決済対応サイトの内訳(N=397)※重複有
    サイト数 比率
  EC-CUBEの不備サイト 318 80.1%
  WordPressの不備サイト 27 6.8%
  Basic認証不備サイト 51 12.8%
  その他認証不備サイト 11

2.8%

 

 

f:id:foxcafelate:20191006200411p:plain

7 EC-CUBE不備サイトの管理者アクセスロゴ表示(N=318)
    サイト数 比率
  EC-CUBE標準ロゴ(2000-2019)新ロゴ 25 7.9%
  EC-CUBE標準ロゴ(2000-2019) 148 46.5%
  EC-CUBE標準ロゴ(2000-2010) 13 4.1%
  EC-CUBE標準ロゴ(2000-2007) 31 9.7%
  EC-CUBEサードパーティロゴ 101 31.8%

 

 

8 管理者アクセス不備サイトの前回調査(~8月末)からの変化(N=562)
    サイト数 比率
  サイト閉鎖 6 1.1%
  サイト改善(管理者アクセスが保護された) 8 1.4%

 

 

※分析結果コメントについては、別途Fox on securityの記事として取り上げる予定です。

※詳細調査データについては、不正攻撃に流用が可能と思われる為、一般公開の予定はありません。

 

 

f:id:foxcafelate:20191006183706p:plain

 

更新履歴

  • 2019年10月6日PM (予約投稿)

キタきつね作業状況(10月)

キタきつね作業状況

■キタきつねの調査等の作業状況をひっそりと更新してます (最終更新10/6

 

【外部依頼】

  ・JPAC様 セミナー(※11月で調整中)

 

【自主調査】

 ・EC-CUBEサイトの脆弱性調査 

   ※10/7に公開予定

   ※調査データについてのコメントについては、改めてFox on security記事で発表します。

 

 ・EC-CUBE版 NOTICE(検討中)

   EC-CUBEサイトの調査結果があまり良く無く、ブログ記事で啓蒙記事を発信しても

   EC-CUBEのサイト(事業者)に変化があまり無い事から、キタきつねから勝手にメールで

   サイトオーナー(あるいは制作事業者)に脆弱性がある事をお知らせ(NOTICE)する事を

   検討中です。

 

【定期作業】

 ・Fox on Security 更新記事作成 (主に土・日曜日)

 

 

 

æ¢åµã®ã¤ã©ã¹ãï¼å¥³æ§ï¼

 

更新履歴

  • 2019年10月6日PM (新規投稿)※随時更新

キタきつね作業状況(9月)

■キタきつねの調査等の作業状況をひっそりと更新してます (最終更新9/12

 

【外部依頼】

 

 ・JPAC様 セミナー(※調整中)

 

【自主調査】

 ・EC-CUBEサイトの脆弱調査 

   ※EC-CUBEの実績ページにあるサイトは調査完了しました。

    現在重複データのチェック等、分析に向けた精度向上作業中ですが、、

    別作業で結構時間を食われているので、本レポート作成には少し時間がかかる

    見込みです。

 

【定期作業】

 ・Fox on Security 更新記事作成 (主に土・日曜日)

 

 

 

æ¢åµã®ã¤ã©ã¹ãï¼å¥³æ§ï¼

 

更新履歴

  • 2019年9月10日PM (新規投稿)※随時更新

キタきつね作業状況(8月)

■キタきつねの調査等の作業状況をひっそりと更新してます (最終更新8/27)

 

 【外部依頼】

・10/8(火)パスワード2.0 ー実践編ー セミナー資料作成中(※作業進捗10%位)

www.jpac-privacy.jp

日本プライバシー認証機構(JPAC)様からセミナー登壇のお話を頂きました。有償セミナーとなりますので、費用を払ってもご満足いただける内容にすべく資料を作成してます。ホワイトレポートには書かなかったソースや、実際にどの位パスワードが危ないのか、何が狙われているのか、システム管理者/個人としての対応法等をお話できればと考えています。

 

 

・ホワイトレポート(7/8リリース済)

  日本人のためのパスワード2.0   ※JPAC様 ホームページ

日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 

【自主調査】

 ・EC-CUBEサイトの脆弱調査 

 ※継続調査中(8/27)

途中結果は更新しませんが、あと300サイト位をチェックすれば一次調査完了となります。その後、重複スクリーニングと開発業者別の集計をした後、2次調査でEC-CUBEバージョン調査を行えればと思ってます。

 

  ※※正直に言って、ここまで酷いとは思ってませんでした。

    EC-CUBE構築サイトの、管理者ログイン画面は高確率で保護されていません。

   ※手動調査なので時間がかかってます。

   ※URL実在調査をしてます。(不正ログイン試行はしてません)

 

●サイト調査途中結果(8/18

※制作/開発会社によって管理ログイン画面の設定ミス頻度が違っている様です。

※実績のある制作会社であるから、セキュリティ(設定)が必ずしも正しくしているとは限りません。

 

EC-CUBEサイトをこちらから1,426サイトチェックしています。

 

チェックした際にECサイトを閉鎖している(別なサイトになっている)と思われるサイトを除くと、実在するEC-CUBE構築サイトが832サイトありましたが、全体の43%(424サイト)しか「問題がない」(※初歩的な設定が出来ている)と推定されるサイトはありませんでした。残りの55%は、管理者設定にミスがあるといっても問題ないかと思います。

 

  ①EC-CUBE管理者ログイン設定に問題有

   449サイト/985サイト(約45%)

 

  ②WordPress管理者ログイン設定に問題有

   51サイト/985サイト(約5%)

    ※EC-CUBE調査中に偶然見つけた脆弱性で必ずしもEC-CUBE側の設定が悪い訳ではありません。

 

  ③Basic認証(管理者ログイン)が出てくるサイト

   51サイト/985サイト(約5%)

 

  ④その他認証画面が出てくるサイト

   8サイト/985サイト(約1%)

 

①②③④の中で、クレジットカード決済を行っている(潜在的にカード情報漏洩事件が発生する可能性がある)サイトは、332サイト(約34%)となります。これらのサイトの管理者パスワードが脆弱(使い回し含む)であると、将来カード漏洩事件につながる可能性があると思われます。

WordPressの上記脆弱点はEC-CUBEとは関係が無い(EC事業者側の責任範疇)可能性もありますが、1つのECサイト事業者が全体のECサイトを構築しているケースが多いかと思いましたので、管理者権限の乗っ取りが発生すると危険という意味で挙げています。

EC-CUBEWordPress両方の管理画面が脆弱なサイトは重複カウントしてます。

重複登録がいくつもありそうですが、現時点では精査できてません。

 (調査がひと段落してから重複サイトの削除を実施予定です)

 

■調査中の生データはExcelにしていますが、悪用の可能性がある生データですので、公開は控えます。 

f:id:foxcafelate:20190713112057p:plain

 

 

 

 

 

【定期作業】

 ・Fox on Security 更新記事作成 (主に土・日曜日)

 

 

 

æ¢åµã®ã¤ã©ã¹ãï¼å¥³æ§ï¼

 

更新履歴

  • 2019年6月30日PM (新規投稿)※随時更新

キタきつね作業状況(~7月)

キタきつね作業状況

■キタきつねの調査等の作業状況をひっそりと更新してます (最終更新7/14)

 

【自主調査】

 ・EC-CUBEサイトの脆弱調査 ※継続調査中

  ※※正直に言って、ここまで酷いとは思ってませんでした。

    EC-CUBE構築サイトの、管理者ログイン画面は高確率で保護されていません。

   ※手動調査なので時間がかかってます。

   ※URL実在調査をしてます。(不正ログイン試行はしてません)

 

●サイト調査途中結果(7/14

※制作/開発会社によって管理ログイン画面の設定ミス頻度が違っている様です。

※実績のある制作会社であるから、セキュリティ(設定)が必ずしも正しくしているとは限りません。

 

EC-CUBEサイトをこちらから1,157サイトチェックしています。

 

チェックした際にECサイトを閉鎖している(別なサイトになっている)と思われるサイトを除くと、実在するEC-CUBE構築サイトが832サイトありましたが、全体の45%(373サイト)しか「問題がない」(※初歩的な設定が出来ている)と推定されるサイトはありませんでした。残りの55%は、管理者設定にミスがあるといっても問題ないかと思います。

 

  ①EC-CUBE管理者ログイン設定に問題有

   372サイト/832サイト(約45%)

 

  ②WordPress管理者ログイン設定に問題有

   43サイト/832サイト(約5%)

    ※EC-CUBE調査中に偶然見つけた脆弱性で必ずしもEC-CUBE側の設定が悪い訳ではありません。

 

  ③Basic認証(管理者ログイン)が出てくるサイト

   42サイト/832サイト(約5%)

 

  ④その他認証画面が出てくるサイト

   7サイト/832サイト(約1%)

 

①②③④の中で、クレジットカード決済を行っている(潜在的にカード情報漏洩事件が発生する可能性がある)サイトは、280サイト(約34%)となります。これらのサイトの管理者パスワードが脆弱(使い回し含む)であると、将来カード漏洩事件につながる可能性があると思われます。

WordPressの上記脆弱点はEC-CUBEとは関係が無い(EC事業者側の責任範疇)可能性もありますが、1つのECサイト事業者が全体のECサイトを構築しているケースが多いかと思いましたので、管理者権限の乗っ取りが発生すると危険という意味で挙げています。

EC-CUBEWordPress両方の管理画面が脆弱なサイトは重複カウントしてます。

重複登録がいくつもありそうですが、現時点では精査できてません。

 (調査がひと段落してから重複サイトの削除を実施予定です)

 

■調査中の生データはExcelにしていますが、悪用の可能性がある生データですので、公開は控えます。 

f:id:foxcafelate:20190713112057p:plain

 

 

 【外部依頼】

・ホワイトレポート(7/8リリース済)

 

 日本人のためのパスワード2.0   ※JPAC様 ホームページ

日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

【定期作業】

 ・Fox on Security 更新記事作成 (土・日曜日)

 

 

 

æ¢åµã®ã¤ã©ã¹ãï¼å¥³æ§ï¼

 

更新履歴

  • 2019年6月30日PM (新規投稿)※随時更新

クレジットカード情報漏洩事件のまとめ(2019年上半期)

カード情報漏洩事件

国内のクレジットカード情報漏洩事件(2019年1月~6月)のまとめ 

6月末時点で少なくても19件の漏洩事件が(把握している限り)発表されており、推定も交じりますがEC-CUBEを利用していたECサイトからのカード情報漏洩事件が最近は多く出てきています。(※少なくても19件中11件はEC-CUBE利用が確認/推定されました)

 

リリース日 運営事業者 サイト名 漏洩件数 期間 原因
2019年6月24日 富洋観光開発 見波亭 289件 2015年2月5日~2016年10月31日

EC-CUBE】v不明

旧サイトへの不正アクセス

(Heartbleed)
2019年6月17日 熊本ワイン株式会社 熊本ワインショッピングサイト  444件 2018年12月5日~2019年1月30日

EC-CUBE】v不明

アプリケーションの機能を悪用した不正アクセスによる決済情報入力画面の書き換え
2019年6月13日 株式会社イオン銀行
イオンクレジットサービス株式会社		  「暮らしのマネーサイト」
「イオンウォレット」		  1,917件 2019年5月28日~2019年6月3日 外部で不正に取得したと思われるID・パスワードを使った“なりすまし”による不正ログイン
2019年6月10日 株式会社ジュニアー ジュニアーオンラインショップ(旧サイト) 2,407件 2017年9月18日~2018年9月21日

EC-CUBE】v不明

システムの一部の脆弱性をついたことによるペイメントアプリケーションの改ざんが行われたため
2019年6月4日 株式会社サンポークリエイト アネモネ 2,606件 2018年9月3日~2018年12月27日

EC-CUBE】v不明

三者による不正プログラムの混入
2019年5月29日 株式会社ヤマダ電機 ヤマダウエブコム・ヤマダモール 37,832名 2019年3月18日~2019年4月26日 三者によって「ヤマダウエブコム・ヤマダモール」に不正アクセスされ、ペイメントアプリケーションの改ざんが行われたため
2019年5月28日 有限会社ジャングル 通販サイト 2,507件 2017年5月2日~2018年11月6日 顧客情報が格納されているサーバへの不正アクセス
2019年5月22日 株式会社藤い屋 藤い屋オンラインショップ 477件 2018年10月15日~2019年1月28日 EC-CUBE】v不明
システムの一部の脆弱性をついたことによる第三者不正アクセス
2019年5月15日 株式会社小田垣商店 小田垣商店オンラインショップ 2,415件 2018年4月3日~
2018年5月16 日、及び 2018年9月3日~2019年2月28 日

EC-CUBE】v不明

システムの一部の脆弱性
をついたことによる第三者不正アクセス
2019年4月23日 株式会社エーデルワイン エーデルワイン オンラインショップ 1,140件 2015年7月8日~2018年8月5日

EC-CUBE】v不明

システムの一部の脆弱性をついたことによる第三者不正アクセス
2019年4月15日 ジェイ・ワークス株式会社 ショコラ ベルアメール 1,045名 2018年8月6日~2019年1月21日

EC-CUBE】v不明

システムの一部のセキュリティの脆弱性をついたことによる外部の第三者不正アクセス
2019年4月12日 九州旅客鉄道株式会社 ななつ星 Gallery 2,816名 2013年10月5日~2019年3月11日

EC-CUBE】v不明

システムの一部の脆弱性を狙った第三者の攻撃による不正アクセス
2019年4月10日 株式会社レジナ エコレオンラインショップ 247件 2018年5月16日~2018年12月11日 攻撃者が、データベースへ不正な仕掛けをページ内に埋め込んだとみられます
2019年4月2日 株式会社サーカス 子供服サーカス/子供服ミリバール 2,200件 2018年10月1日~2019年1月18日 システムの一部の脆弱性をついたことによる第三者による不正アクセス
2019年4月1日 株式会社友利 本味主義 2,926件 2017年5月22日~2018年10月14日 システムの一部の脆弱性をついたことによる第三者による不正アクセス
2019年3月25日 クインテッセンス出版株式会社 歯学書ドットコム 5,689件 2012年11月11日~2018年12月28日 システムの一部の脆弱性をついたことによる第三者不正アクセス
2019年2月26日 株式会社ハセ・プロ オンライン通販サイト 1,311件 2018年10月1日~2019年1月24日

EC-CUBE】v不明

システムの脆弱性を突いた第三者による不正アクセスとページの改ざん
2019年2月12日 バニーファミリー横浜 バニーファミリー横浜ネットショップ 241件 2018年6月28日~2018年10月25日

EC-CUBE】v不明

システムの一部の脆弱性をついたことによる第三者不正アクセス
2019年2月1日 JR九州ドラッグイレブン株式会社 通販サイト 458件 2016年4月12日~2018年11月8日 通販サイトの内部にプログラムの改ざん

  

JR九州ドラックイレブンはサイト閉鎖に伴う影響か、第2報まで出ていたリリース記事が消えており、リリース記事へのリンクを貼ってません。

 

 

 

åéã§æ©ãç·æ§ã®ã¤ã©ã¹ãï¼ã«ã¼ãï¼

更新履歴

  • 2019年6月9日PM(予約投稿)
  • 2019年6月10日PM ジュニアーオンラインショップ(旧サイト)分を追加
  • 2019年6月18日PM EC-CUBE簡易調査結果(過去インシデント分)を追加
  • 2019年6月29日AP 見波亭(旧サイト)分を追加