2019-12-21

クレジットカード情報漏洩事件のまとめ（2019年下半期）

国内のクレジットカード情報漏洩事件（2019年7月～12月）のまとめ　※随時更新予定

12月21日時点で少なくても34件の漏洩事件が（把握している限り）発表されています。※少なくても34件中30件はEC-CUBE利用が確認／推定されました

※ECオーダー.comの利用ECサイト（影響ユーザ）は一定数あった様ですが、影響サイトの公表がされてないので1件としてカウントしています

※JIMOSは元々3サイトリスト掲載してましたが本発表が１リリースでしたので4サイト分を1件としてカウントしてます

リリース日	運営事業者	サイト名	漏洩件数	期間	原因
2019年12月19日 ※FOX記事（34）	FULLSPEC	FULLSPEC. WEB SITE	62件	2018年9月7日～2019年1月30日	【EC-CUBE】v不明＃30 システムの一部の脆弱性をついたことにより、ペイメントアプリケーションの改ざんが行われ、第三者の不正アクセスが発生
2019年12月11日 ※FOX記事（33）	株式会社プレジィール	グラマシーニューヨークオンラインショップ	3,312件	2018年10月31日～2019年6月14日	【EC-CUBE】v不明＃29 システムの一部の脆弱性をついたことによる第三者の不正アクセス
2019年12月5日 ※FOX記事（32）	象印マホービン株式会社	象印でショッピング	734件	2019年12月4日	第三者による不正アクセス、およびフィッシングによるカード情報窃取
2019年12月3日 ※FOX記事（31）	株式会社モーターマガジン社	モーターマガジン社コーポレートサイト	211件	2018年8月21日～2019年6月27日	【EC-CUBE】v不明＃28 システムの一部脆弱性を突いたことによる第三者の不正アクセス
2019年11月21日 ※FOX記事（30）	株式会社　英宝	Cardshop Serra	4,982件	2017年9月17日～2018年11月8日	【EC-CUBE】v不明＃27 システムの一部脆弱性を突いたことによる第三者の不正アクセス
2019年11月21日 ※FOX記事（29）	有限会社キャプテントム	キャプテントム	83件	2019年1月8日～2019年5月9日	【EC-CUBE】v2.13 ＃26 システムの一部脆弱性を突いたことによる第三者の不正アクセス
2019年11月14日 ※FOX記事（28）	株式会社イオンスポーツ	ゼロフィット公式オンラインショップ	983件	2015年1月1日～2018年7月24日	【EC-CUBE】v不明＃25 システムの⼀部の脆弱性をついたことによる第三者の不正アクセス
2019年11月11日 ※FOX記事（27）	株式会社コムス	5pb. Records div2 official shop	147件	2019年4月10日〜2019年4月24日	【EC-CUBE】v不明＃24 システムの⼀部の脆弱性をついたことによる第三者の不正アクセス
2019年11月6日 ※FOX記事（26）	株式会社イザナギ	AKIBA-HOBBY	220件	2018年9月28日～2019年3月20日	【EC-CUBE】v2.13 ＃23 外部からのWebアプリケーションの脆弱性を利用した攻撃
2019年11月5日 ※FOX記事（25）	モダンデコ株式会社	Armonia本店	649件	2018年8月20日～2019年4月26日	【EC-CUBE】v不明　＃22 システムの一部脆弱性を突いた第三者の不正アクセス
2019年10月24日 ※FOX記事（24）	株式会社直久	ネットショップ	133件	2017年4月27日～2018年3月28日	全研本社株式会社提供のアプリケーションサービス「Allin1 Office」が運用するサーバーの脆弱性を利用した外部からの攻撃
2019年10月24日 ※FOX記事（23）	株式会社スタジオライン	MODERN BEAUTY TOKYO	16,109件	2016年11月15日から2018年11月7日	【EC-CUBE】v不明　＃21 外部からのWebアプリケーションへの不正侵入
2019年10月15日 ※Fox記事（22）	株式会社JIMOS	マキアレイベル、Coyori、代謝生活CLUB、酒蔵.com	107,661件	2014年1月1日～2019年7月26日 2014年1月1日～2016年3月30日	【EC-CUBE】v2.13と推測される　＃20 ECサイト（マキアレイベル・Coyori・代謝生活CLUB・酒蔵.com)の一部の脆弱性をついたことによる第三者からの不正アクセス
2019年10月9日 ※FOX記事（21）	ホビボックス株式会社	ECオーダー.com	7,467件	2019年1月19日～2019年6月26日	不正アクセスによりアプリケーションファイルを改ざんされた為
2019年10月8日 ※FOX記事（20）	株式会社京都一の傳	京都一の傳お取り寄せページ	18,855件	2018年8月18日～2019年5月17日	【EC-CUBE】v2.13と推測される　＃19 システムの一部脆弱性を突いた第三者の不正アクセス
2019年9月19日 ※FOX記事（19）	株式会社ハリス	オリフリ	未公表	未公表（事件検知は2019年9月7日19時）	【EC-CUBE】v不明　＃18 フィッシング詐欺のページへ誘導するクラッキング（悪意あるハッキング）行為
2019年9月19日 ※FOX記事（18）	有限会社フィセル	10mois　WEBSHOP	11,913件 30件	2018年8月7日～2019年3月27日 2019年5月14日～2019年5月20日	【EC-CUBE】v不明　＃17 外部からの不正アクセス
2019年９月17日 ※Fox記事（17）	株式会社みらいと	掃除用品オンラインショップ	34件	2019年5月7日～2019年5月15日	【EC-CUBE】v不明　＃16 システムの一部の脆弱性を突いたことによる第三者の不正アクセス
2019年９月17日 ※FOX記事（16）	株式会社ハーバルインデックス	Naturas Psychos Product	203件	2018年12月11日～2019年１月26日	【EC-CUBE】v不明　＃15 システムの脆弱性をついた第三者の不正アクセスによる弊社サイトの改ざん
2019年９月17日 ※FOX記事（15）	公益財団法人日本関税協会	JTAS Store	228件	2018年12月21日～2019年5月24日	【EC-CUBE】ｖ2.13　＃14 システムの一部の脆弱性をついたことによる第三者の不正アクセス
2019年９月12日 ※FOX記事（14）	株式会社宮本製作所	マグちゃんオンラインショップ	2,905件	2018年09月27日～2019年03月08日	【EC-CUBE】ｖ2.13　＃13 システムの一部の脆弱性をついたことによる第三者の不正アクセス
2019年９月9日 ※FOX記事（13）	株式会社ビバリー	ビバリーホームページ	8件	2019年5月8日~2019年5月15日	【EC-CUBE】v不明　＃12 システムの一部脆弱性を突いた、第三者による不正アクセス
2019年９月9日 ※FOX記事（12）	激ロックエンタテインメント株式会社	GEKIROCK CLOTHING	1,269件	2019年8月23日11:55~9月3日10:47	【EC-CUBE】v不明　＃11 本サービスの一部が改ざんされ、お客様が不正ページに誘導され、不正ページ上にてお客様自身にクレジットカード情報を入力させる手口
2019年９月6日 ※FOX記事（11）	株式会社諏訪田製作所	SUWADA オンラインショップ	449件	2018年12月21日～2019年4月15日	【EC-CUBE】ｖ2.13（推定）　＃10 第三者による不正なアクセス
2019年8月22日 ※FOX記事（10）	株式会社小嶋屋総本店	小嶋屋総本店ショッピングサイト	8,109件	2015年12月9日~2019年4月15日	【EC-CUBE】v不明　＃09 外部からのWebアプリケーションの脆弱性を利用した攻撃
2019年8月20日 ※FOX記事（09）	HARIO株式会社	HARIOネットショップ	2,577件	2018年11月23日~2019年5月8日	【EC-CUBE】ｖ2.13　＃08 第三者の不正アクセス
2019年8月5日 ※FOX記事（08）	株式会社ドリーム	プロイデア直営ショップ	291件	2018年9月25日～2019年4月26 日	【EC-CUBE】v不明　＃07 ショッピングカートシステムの脆弱性を利用した攻撃
2019年8月5日 ※FOX記事（07）	株式会社おもちゃ箱	omochabakoWEBSTORE	40,233件	2016年2月3日～2019年3月11日	【EC-CUBE】v不明　＃06 Webアプリケーションの脆弱性を利用したクレジット決済アプリケーションの改ざん
2019年7月29日 ※FOX記事（06）	リカー・イノベーション株式会社	KURAND CLUB	23件	2019年3月11日～2019年3月14日	【EC-CUBE】v不明　＃05 システムの一部の脆弱性を突いた第三者の不正アクセス ※8/30サイトリニューアルで事故リリースが削除されている
2019年7月23日 ※FOX記事（05）	株式会社金剛堂	金剛堂オンラインストア	30,830件	2014年12月31日～2019年2月21日	【EC-CUBE】v不明　＃04 システムの一部脆弱性を狙った不正な改ざん（※フォームジャッキング） ※フォームジャッキング…決済画面に悪意のある仕組みを埋め込み、カード情報を盗む手口のこと
2019年7月22日 ※FOX記事（04）	株式会社叶匠寿庵	叶匠寿庵オンラインショップ	1,767件	2018年9月17日～2019年3月13日	【EC-CUBE】v不明　＃03 システムの一部の脆弱性をついたことによる第三者の不正アクセス
2019年7月3日 ※FOX記事（03）	株式会社DigiBook	みんなのデジブック広場	15,370件	2009年3月1日～2019年2月20日	システムの一部の脆弱性をついたことによる第三者の不正アクセス
2019年7月3日 ※FOX記事（02）	石井スポーツ	Ski&Winter Sports Online Shop	650件	2018年9月10日～2019年3月20日	【EC-CUBE】v不明　＃02 システムの一部の脆弱性をついたことによる第三者の不正アクセスがあり、ペイメントアプリケーションの改ざんが行われたため
2019年7月2日　 ※FOX記事（01）	株式会社零カスタム	ZERO CUSTOM	273件	2018年8月30日～2019年1月31日	【EC-CUBE】ｖ2.13　＃01 システムの一部の脆弱性をつき、プログラムの改ざんが行われたため

f:id:foxcafelate:20190630173144p:plain

更新履歴

2019年7月1日AM（予約投稿）　※随時更新

2019-12-19

ブロードリンク社からの情報漏えい事件を調べてみた

内部犯行事件

今年も色々な事件がありましたが、この事件は記憶に残る事件となりそうです。

ブロードリンク社の記者会見を見ましたが、影響範囲特定が非常に難しいのではないかと思います。既に多くの媒体は転売されており、回収不能ではないかと思います。ブロードリンク社はフリーダイヤルを設置して、落札者に自主返納をお願いしている様ですが、ヤフオクID（現在は停止中）を開示せず、更に言えば既に利用しているとすると、その代替も考えないといけませんので、「ほとんど回収できずに終わる」可能性の方が高い気がします。

一方で、転売された記憶領域を持つ媒体については、、、少し発表された数字がおかしい気がしています（調査中ですが）。記者会見だと、記憶領域を持つ情報機器は3904台と発表されています。

※ItMedia記事より画像引用

（12/19）ヤフオクの落札調査が終わりました。

結論から言えば、「記憶領域のある商品」については、ブロードリンク社の発表は正確では無いと思います。手集計をしているので多少ミスがあるかも知れませんが、ヤフオクの落札履歴を調べた結果では、

　・ヤフオク落札件数：7558件（公式発表：7844件　※差分はメルカリ等だと思います）

　・内記憶領域のある商品：4018個　（公式発表：3904個）

となりました。高橋容疑者のヤフオク出品は複数商品をまとめて出しているケースがあり、ブロードリンク社はカウントミスしている可能性を感じます。

まとめて出品される記憶媒体は2パターンあります。

今回の漏えい事件が発見されたきっかけになったのが、ハードディスクのまとめ売りのパターンです。

f:id:foxcafelate:20191219204335p:plain

もう１つが、microSDのまとめ売りです。そんなに高値で売れる商品ではないので、あるいは送付が面倒になったからか、1枚だけでなく、5枚、10枚のまとめ売りをしていたケースが多数ありました。

f:id:foxcafelate:20191219204857p:plain

落札データを調べてみると、高橋容疑者は2007年からヤフオク利用をしてますが、月に数件~10件程度しかありません。つまりこの当時は普通にヤフオクを利用しているだけだったかと思います。

ブロードリンク社への入社は2016年2月の様ですが、（データ上は）2016年4月から急に落札件数が増えていおり、この辺りから不正持ち出しが始まったと考えられます。

とは言え、2016年の段階ではSSDもハードディスクも落札データに出てきません。USBメモリやMicroSDといった記録用メモリ（媒体）も出されていますが、iPhoneのACアダプタとイヤホンが圧倒的に多いです。

ブロードリンク社の記者会見では、こうした小物についても不正持ち出しされた事が否定されてませんでしたので、廃棄処分対象であったこうした小物（※大処分品の個数管理されてなかったと思います）から、高橋容疑者は不正持ち出しをやり始めたと考えられます。

f:id:foxcafelate:20191219205945p:plain

f:id:foxcafelate:20191219205812p:plain

落札データにSSDが登場するのは、2017年4月からです。勝手な推測になりますが、4月は多くの会社で人事異動の時期でもありますので、高橋容疑者はこの辺りで、担当内容が代わった（例えば備品処分担当からPC分解担当へ）のかも知れません。

f:id:foxcafelate:20191219210711p:plain

しかし2017年の落札データには「ハードディスク」は1件も出てきません。

f:id:foxcafelate:20191219211158p:plain

SSDだけです。高橋容疑者は、この間にもケーブルやイヤホン等を毎月出品していますので、ハードディスクに比べてコンパクトで不正に持ち出ししやすいSSDに絞って持ち出していた・・とも考えられますが、ハードディスクが保管されている「カゴ」に携わる作業を担当してなかったのかなと想像します。

2018年になると、今回の個人情報漏えい事件で問題となっている「ハードディスク」の落札（出品）は突然4月から始まります。ここも時期的にぴったりなので、人事異動説・・・結構当たっているかも知れません。

f:id:foxcafelate:20191219212113p:plain

年ベースで落札データを見ると、高橋容疑者がどんどん大胆に機器を不正持ち出ししている事がわかります。これだけの機器を簡単に持ち出せてしまうブロードリンク社、高橋容疑者が第一義的に悪い事ではありますが、会社としての責任は免れないものと思います。

f:id:foxcafelate:20191219212647p:plain

今回、ヤフオク落札サーチサイトを使って、（手計算ですが）調べた範疇では、4000台を超える媒体（PCやスマホ、タブレット含む）が不正に持ち出された可能性が高い様です。ハードディスクやSSDはNTFSフォーマットしかされてない状態で出品されていた様ですので、既にハードディスクやSSDを利用している落札者の媒体の中に、秘匿データがまだ眠っている可能性は否定できないかと思います。

一方で、ブロードリンク社が全ての媒体を特定して回収するのも困難だと思います。記者会見ではブロードリンク社が1件1件オークションデータの写真にあるシリアルチェックを行って、対象データの絞り込みを行う・・としてましたが、全ての検証は無理なのではないでしょうか？

ヤフオク自体の落札履歴は120日しか残りません。そこから先は、私が調べた様なオークション落札を調べるサイトで調査する事になるかと思いますが、すべての画像データが残っている訳ではありません。ついでに言えば、microSD、SDHCカード、USBメモリ等に至っては、出品画像にシリアル番号が出でませんので、ブロードリンク社による追跡調査（マッチング）は、かなり難しいかと思います。

f:id:foxcafelate:20191219203029p:plain

f:id:foxcafelate:20191219203112p:plain

f:id:foxcafelate:20191219203142p:plain

f:id:foxcafelate:20191219203208p:plain

余談です。稼いだのは1000万円と報じられていますが・・・高橋容疑者の供述に間違いがある気がします。

www.fnn.jp

2019年（1月~12月）のヤフオク当該IDの落札合計額も調査しましたのですが、、

f:id:foxcafelate:20191216120337p:plain

今年だけで落札累計が1100万円超えています。

因みに、2018年（1月~12月）は、600万円くらい。

f:id:foxcafelate:20191216120443p:plain

2017年（1月~12月）は200万円ちょっと

f:id:foxcafelate:20191216120542p:plain

2016年（２月~12月）は120万円弱でした。

f:id:foxcafelate:20191216120646p:plain

高橋容疑者がブロードリンク社に入社（2016年2月）してから逮捕される（2019年12月）までのヤフオクの落札総額は、およそ2000万円となります。この中には一部、プライベートの出品もありそうでしたが、充電器やイヤフォン、カメラ等もどうやらブロードリンク社が供給元であった様ですので、2000万円、手数料や送料等々諸々引いたとしても、、1500万以上は稼いでいたと推定されます。

壊れたハードディスクのイラスト

更新履歴

2019年12月16日AM　（随時更新予定）

2019-11-23

ディノス・セシールへの不正アクセス事件をまとめてみた

パスワードリスト攻撃ホワイトペーパー

「セシールオンラインショップ」への”なりすまし”不正アクセス事件のまとめ 　

※随時更新予定

◆キタきつねの所感

「セシールオンラインショップ」はパスワードリスト攻撃を受けている事を定期的に発表しています。しかし、その内容を細かく見ると、不正ログイン試行に対する検知が圧倒的に早く、一部被害は出ているものの、その被害内容は（他のインシデントと比較すると）軽微であると言えます。

つまり「セシールオンラインショップ」は国内最高レベルの不正ログイン対策をしていると言っても過言では無いと思います。

当然の事ながら、攻撃（ハッカー）側も「セシールオンラインショップ」の防御が優れている事を認識していると思われます。それでも定期的にリスト攻撃を受けている事を鑑みると、攻撃（ハッカー）側は、「セシールオンラインショップ」を攻撃ツール、あるいは攻撃手法のベンチマークテストに使っている事が推測されます。

「ディノス・セシール」は、他ECサイト事業者、あるいは会員サイト運営事業者にとって非常にありがたい事に、事件を受けてのリリース内容に情報掲載が多く、どこぞやのカード情報漏洩事件でよく見かける「システムの脆弱性をついた第三者の不正アクセス」といった内容ではなく、攻撃IP国であったり、リスト攻撃の内容であったりが比較的公開されています。

攻撃（ハッカー）側が攻撃ベンチマークとして「セシールオンラインショップ」を使っている場合、近い将来あるいは現在進行形で、日本のECサイトが同様な攻撃を受ける可能性が高い事を示唆しています。そこで、改めて、ディノス・セシールへの不正アクセス事件をリリースベースでまとめてみました。

以下は、キタきつねとしての、簡易分析コメント（11/23時点）となります。

　・土日に攻撃されたケースが７件（47%）

　・以前は中国IPからの攻撃が多かったが、最近は国内IPからの攻撃が増えている

　・「セシールオンラインショップ」は事件リリースを　平均3.8日で出している

　　　※不明文、ディノス分を除く

　・「ディノスオンラインショップ」は攻撃をほとんど受けていない　２件（13％）

　・事件リリース数（年2-5件）から、防ぎ切った（被害が出なかった）攻撃は更に多いと推測される

2019年10月23日時点で少なくても15件の事件リリースが出ている事を確認しています。

No	リリース日	サイト名	不正アクセス発生日	曜日	時刻	攻撃IP	試行回数	被害件数	被害内容
15	2019年11月21日	セシールオンラインショップ	11月19日	（火）	不明	国内IPアドレス	16回	1件	顧客番号、氏名、生年月日、性別、保有ポイント、会員ランク、自宅住所、メールマガジン登録状況などが閲覧された可能性
14	2019年10月23日	セシールオンラインショップ	10月18日	（金）	不明	国内IPアドレス	30回	1件	氏名や生年月日、性別、パソコンと携帯のメールアドレス、保有ポイントなどが閲覧された可能性 ※公式ページが発表資料のリンクミスとなっている為、Security Next記事より情報引用
14	2019年9月25日	セシールオンラインショップ	9月22日	（日）	不明	国内IPアドレス	17回	1件	1 名分のお客様情報（顧客番号、氏名、生年月日、性別、保有ポイント、会員ランク、登録クレジットカード名、カード番号下4桁、カード有効期限）が第三者に閲覧された可能性があり、さらに登録クレジット情報が削除された
13	2019年7月31日	セシールオンラインショップ	7月28日	（日）	不明（2回発生）	国内IPアドレス	22回	1件	1 名分のお客様情報（お客様情報（お客様番号、氏名、生年月日、性別、保有ポイント、会員ランク、メールアドレス、確認メール送付先、確認メール受信設定、特典案内メール受信設定）が、第三者に閲覧された可能性がある
12	2019年3月28日	セシールオンラインショップ	3月17日	（日）	不明	同一 IP アドレス（中国及び国内）	2929回	6件	6 名分のお客様情報（氏名、会員ランク、保有ポイント数）が、第三者に閲覧された可能性がある
11	2019年2月6日	セシールオンラインショップ	1月30日	（水）	不明	同一IP アドレス（国内）	18回	1件	1 名分のお客様情報（氏名、会員ランク、保有ポイント数、お客様番号、性別、生年月日、メールアドレス、確認メール受信設定、特典案内メール受信設定）が、第三者に閲覧された可能性がある
10	2018年6月6日	セシールオンラインショップ	6月2日	（土）	10:19～22	中国国内の201 個の IP アドレス	1938回	490件	490 名のお客様情報が第三者に閲覧された可能性があり、また、不正アクセス全件である 1,938 件のメールアドレスが、「セシール」にご登録中のお客様ID と一致することが判明 ※新規顧客登録申請機能を悪用したリストの「スクリーニング」攻撃と推定される
9	2018年2月26日	セシールオンラインショップ	2月22日	（木）	不明	同一 IP アドレス（アメリカ）	14 回	2 件	お客様情報（氏名、所有ポイント数）2 名分が第三者に閲覧された可能性がある
8	2017年12月7日	ディノスオンラインショップ	11月5日	（土）	不明	特定IP（11/3-4は同一セッション）	計3回	計2件	「電話番号」「FAX 番号」「住所」が改ざんされ、お客様のものではないクレジットカードにより商品の不正注文が試みられたが、属性不一致によりキャンセル処理済み
7	2017年12月7日	ディノスオンラインショップ	11月4日	（日）	不明	特定IP（11/3-4は同一セッション）	計3回	計2件	「電話番号」「携帯番号」「住所」が改ざんされ、「勤務先情報」を閲覧された可能性
6	2017年9月25日	セシールオンラインショップ	9月22日	（金）	14:13~42 16:54～17;09	同一の IP アドレス（日本国内）	30回	6件	お客様情報 6 名分が第三者に閲覧された可能性と、2 名分のお客様情報改ざん（第三者のクレジットカード情報を登録・削除、セシールポイント 1600 ポイントをディノス e クーポン 1,600 円分に交換）
5	不明	セシールオンラインショップ	9月14日	（金）	不明	同一のIP アドレス（中国）	12回	1件	お客様情報1名分（氏名・所有ポイント数）が第三者に閲覧された可能性
4	2017年8月23日	セシールオンラインショップ	8月22日	（火）	2:21~31	同一のIP アドレス（日本国内）	11回	1件	お客様情報計1名分（氏名・所有ポイント数）が第三者に閲覧された可能性
3	2017年7月31日	セシールオンラインショップ	7月31日	（月）	15:01~02	同一のIP アドレス（日本国内）	11回	1件	お客様情報 1名分が第三者に閲覧された可能性
2	2016年9月5日	セシールオンラインショップ	9月3日	（土）	13:45~52	、同一のIP アドレス（中国）	30回	7件	5名分のお客様情報が第三者に閲覧された可能性
1	2016年9月5日	セシールオンラインショップ	8月31日	（水）	22:36~50	同一のIP アドレス（日本国内）	50回	8件	8名分のお客様情報が第三者に閲覧された可能性

※キタきつね調べ。（※データ引用される場合は「キタきつね調べ」を明記ください）

※2016年以前も事件リリースが出ていた可能性がありますが、簡易調査では見つけられませんでした。

f:id:foxcafelate:20190928101134p:plain

更新履歴

2019年9月28日AM（予約投稿）　※随時更新

2019-10-12

現在メンテナンス中のECサイトについて（カード情報漏洩の可能性有）

カード情報漏洩事件

国内のECサイトで現時点で期間が明示されず「クレジットカード決済を停止」「システムメンテナンス」「ECサイト閉鎖」中であるサイト情報を簡単にまとめます。（随時更新予定）

※10/12時点で15サイト（内EC-CUBE系6サイト）を掲載しています。

※ECオーダーは影響ユーザ（ソフトウェア会社）が不明な為、1サイトとしてカウントしてます。

※WHGホテルズ（ワシントンホテル、ホテルグレイスリー等）と、ルートインホテルズについては利用ユーザも多いと思いますので、カード情報が漏洩していたと公式発表された場合は、影響を受けるユーザが多いかも知れません。

サイト名	運営事業者	カード決済停止日	備考
TMスポーツ	株式会社テイエムスポーツ	不明	【EC-CUBE】 ※現在、クレジットカード決済でのお支払いは休止させて頂いております。
ECオーダー ※カード情報漏洩を発表10/9	ホビボックス	6月下旬	【ECオーダー】 ※まどそふと、エウクレイア、オーガスト、アリスソフト、Lump of sugar、Skyfish等の18禁系ソフト会社当オンラインショップでは、只今サイトのシステム障害に伴う復旧及びセキュリティ強化作業を同時に実施させて頂いております。皆様には、ご迷惑をおかけし大変申し訳ございません。現在、障害の原因調査ならびに復旧を専門のシステム保守管理会社と行っております。弊社では、お客様の安全を第一に考え、原因追求調査だけではなく、より高度なセキュリティ強化も施しているところでございます。再開は、８月中旬頃を予定致しております。
エイブルマート本店	エイブルマート株式会社	不明	【EC-CUBE】さて、2013年のオープン以来ご愛顧いただきました当社本店サイトは諸般の事情により誠に勝手ながら、2019年6月30日をもって閉店とさせていただきました。長年ご利用いただいておりました会員の皆様には、大変ご不便ご迷惑をおかけいたしまして誠に申し訳ございません。 ※会員の方へは5月31日にメールをお送りしております。
ぶよう堂	株式会社ぶよお堂	不明	【EC-CUBE】現在オンラインによる商品の購入は休止させていただいております。また、クレジットカードによる決済はご利用いただけませんので、予めご了承ください。
MYRA Kyoto	株式会社 MYRA Kyoto	2019年1月23日	この度、都合によりオンラインショップの販売をしばらくの間お休みとさせていただきます。お客様におかれましてはご不便をおかけいたしますが、何卒、ご理解とご協力のほどよろしくお願い申し上げます。
create-flower-ec.com	(株)クリエイト	不明	【EC-CUBE】ただいまクレジット決済がご利用いただけません。ご注文される方はその他のお支払い方法をご利用ください。
b.c.map ONLINE	石井スポーツ	不明	b.c.map-Webshop 只今メンテナンス中のためご迷惑をおかけします
叶匠壽庵 ※カード情報漏洩を発表	叶匠寿庵	2019年3月16日	【EC-CUBE】現在、システムハードウェア故障に伴い修理メンテナンスを行っております。その為、オンラインショップのご利用を停止させて頂いております。
高島屋質店	タカシマ	不明	【EC-CUBE】現在、こちらのサイトはメンテンナンスを行っております。高島屋質店の品物は各モールでも販売しておりますのでよろしければ下記サイトをご覧くださいませ。
JTAS Store ※カード情報漏洩を発表9/17	日本関税協会	2019年5月24日	【EC-CUBE】クレジットカード決済に関するお知らせ平素より JTAS Store をご利用いただき誠にありがとうございます。この度、当JTAS Storeのシステムに不具合の可能性があるため、2019年5月24日よりクレジットカード決済のご利用を停止しております。ご利用のお客様には、たいへんご不便とご迷惑をお掛けいたしますことを深くお詫び申し上げます。現在、システムの不具合の原因を調査中でございますが、調査結果が分かり次第、改めまして当協会ホームページでご報告させていただきます。
TAVINOS（藤田観光グループ）	ホテルタビノス	2019年5月19日	システムメンテナンスに伴う、クレジットカードオンライン決済サービスの停止について平素は格別のご高配を賜り、厚く御礼申し上げます。システムメンテナンスに伴い、インターネット宿泊予約でのクレジットカードオンライン決済サービスの取り扱いを休止しております。
京都　一の傳 ※カード情報漏洩を発表10/8	京都一の傳	2019年5月17日	【EC-CUBE】カード決済サービス停止のご連絡平素より当店をご愛顧いただきまして誠にありがとうございます。この度、当ショッピングページにおいてシステムに不具合の可能性があるため2019年5月17日からクレジットカード決済のご利用を停止しております。ご利用のお客様には、ご不便とご迷惑をお掛けいたしますこと深くお詫び申し上げます。システム不具合の原因につきましては、現在調査中でございますため、調査結果が出次第、改めて当店ホームページにてご報告をさせていただきます。
恋する豚研究所	恋する豚研究所	2019年5月9日	【EC-CUBE】現在、恋する豚研究所のネットストアは、メンテナンスのため一時休止しております。お客様にはご迷惑をおかけしますが、再開までしばらくお待ちください。
電波社	電波社	2018年07月20日	カード決済をご利用の皆様へシステム上の問題により、当面の間クレジット決済のご利用を停止しております。ご不便をおかけいたしますが、何卒ご理解願います。
叙々苑PREMUM SHOP	ジェーオージェ―	不明	クレジットカード決済中止のお知らせ現在、システムをメンテナンス中のためクレジットカードでの決済を一時的に中止しております。お客様にはご迷惑をおかけいたしますが、何卒ご了承のほどお願い申し上げます。
ルートインホテルズ	ルートイングループ	不明	【重要なおしらせ】現在システムメンテナンスのため、事前カード決済機能サービスを一時停止しております。お客様にはご不便をおかけいたしますが、何卒ご理解いただきますようお願い申し上げます。サービス再開につきましては、改めてお知らせいたします。
ホテルグレイスリー（WHG　HOTELS)	藤田観光	不明	システムメンテナンスに伴う、クレジットカードオンライン決済サービスの停止についてシステムメンテナンスに伴い、インターネット宿泊予約でのクレジットカードオンライン決済サービスの取り扱いを休止しております。
ワシントンホテル（WHG HOTELS)	藤田観光	不明	システムメンテナンスに伴う、クレジットカードオンライン決済サービスの停止について平素は格別のご高配を賜り、厚く御礼申し上げます。システムメンテナンスに伴い、インターネット宿泊予約でのクレジットカードオンライン決済サービスの取り扱いを休止しております。

※補足：ECサイトが不正アクセス等の被害を受けてクレジットカード情報を漏洩した疑いがある場合、1-3カ月程度は原因調査（フォレンジック調査）をする事になります。漏洩の疑いのあるECサイト（特に中小サイト）は、フォレンジック調査会社の最終報告書を受領するまではクレジットカード情報を漏洩した事を発表しない傾向があるので、数カ月の間、不自然にカード決済を止めたり、ECサイトを閉じたりする可能性があります。本記事ではそうした可能性があるECサイトを掲載しています。

しかし、様々な事情でクレジットカード決済が純粋に止まっているだけかも知れませんので、本記事にある情報はクレジットカード決済がある時点で止まっている事を提示しているだけであり、不正アクセスを受けた（カード情報が漏洩した）と断定するものではありません。尚、キタきつねと個人としては”予想が外れている”（カード漏洩してない）事を願っております。

f:id:foxcafelate:20190630173821p:plain

更新履歴

2019年6月29日AM（予約投稿）
2019年7月1日PM　Autumn Goodさんの指摘を受け「タカシマヤ→タカシマ」の誤記を修正
2019年7月1日PM　Chatoranを追加
2019年7月2日PM　叶匠寿庵を追加
2019年7月3日PM　b.c.map ONLINE、create-flower-ec.com、MYRA Kyotoを追加
2019年7月12日PM　エイブルマート本店を追加
2019年9月21日AM　JTAS STOREを（漏洩発表にて）更新
2019年10月9日PM　京都一の傳を（漏洩発表にて）更新

2019-10-07

【自主調査レポート】EC-CUBEサイトの脆弱性調査結果

ホワイトペーパー

EC-CUBEサイトの脆弱性調査結果サマリー（2019/10/6）

※制作／開発会社によって管理ログイン画面の設定ミス頻度が違っている様です。

※実績のある制作会社であるから、セキュリティ（設定）が必ずしも正しくしているとは限りません。

EC-CUBEサイトをこちらから1,828サイトを簡易調査しました。

調査期間は2019年７月~８月末で、9月22~24日の時点で、実績ページに追加されたサイトを評価・追記し、重複サイトを削除すると共に、初期調査で脆弱性が検出されたサイトに脆弱性が残っているかどうかを再チェックしました。

調査方法は、URL実在調査（※EC-CUBEの初期設定における想定ページが実在するかどうか）となります。尚、不正アクセスと判断される行為は行ってませんので、脆弱性が検出されたEC-CUBEユーザサイトについて、必ずしも即座に不正アクセス被害を受ける可能性がある訳ではありません。

＝＝＝総合評価＝＝＝

EC-CUBEユーザにおけるカード情報漏洩事件が2018年から続出しているのは、下記に検出した脆弱性を突かれている可能性が強く疑われます。

チェックした際にECサイトを閉鎖している（別なサイトになっている）と思われるサイトを除くと、実在するEC-CUBE構築サイトが1,103サイトありましたが、全体の49%（541サイト）しか「問題がない」（※初歩的な設定が出来ている）と推定されるサイトはありませんでした。残りの51%は、管理者設定にミスがあると判定しました。

以下はその詳細結果となります。

f:id:foxcafelate:20191006194744p:plain

１ EC-CUBE実績サイトの現状（N=1828）
		サイト数	比率
		1828
	有効サイト	1103	60.3%
	閉鎖サイト	725	39.7%

f:id:foxcafelate:20191006195800p:plain

2 管理者アクセス保護について（N=1103）
		サイト数	比率
	不備が検出されたサイト	562	51.0%
	不備が検出されなかったサイト	541	49.0%

f:id:foxcafelate:20191006200130p:plain

3 EC-CUBE管理者アクセス不備について（N=1103）
		サイト数	比率
	不備が検出されたサイト	539	48.9%
	不備が検出されなかったサイト	564	51.1%

f:id:foxcafelate:20191006200243p:plain

4 管理者アクセス保護不備の種類 ※重複有
		サイト数	比率
	EC-CUBE管理者アクセス保護の不備	539	77.8%
	WordPress管理者アクセス保護の不備	66	9.5%
	Basic認証アクセス保護の不備	72	10.4%
	その他認証アクセス保護の不備	16	2.3%

f:id:foxcafelate:20191006200314p:plain

5 管理者アクセス保護不備の内訳（N＝562）
		サイト数	比率
	クレジットカード決済対応	397	70.6%
	クレジットカード決済未対応	165	29.4%

f:id:foxcafelate:20191006200338p:plain

6 クレジットカード決済対応サイトの内訳（N=397）※重複有
		サイト数	比率
	EC-CUBEの不備サイト	318	80.1%
	WordPressの不備サイト	27	6.8%
	Basic認証不備サイト	51	12.8%
	その他認証不備サイト	11	2.8%

f:id:foxcafelate:20191006200411p:plain

7 EC-CUBE不備サイトの管理者アクセスロゴ表示（N=318)
		サイト数	比率
	EC-CUBE標準ロゴ（2000-2019）新ロゴ	25	7.9%
	EC-CUBE標準ロゴ（2000-2019）	148	46.5%
	EC-CUBE標準ロゴ（2000-2010）	13	4.1%
	EC-CUBE標準ロゴ（2000-2007）	31	9.7%
	EC-CUBE系サードパーティロゴ	101	31.8%

8 管理者アクセス不備サイトの前回調査（~8月末）からの変化（N=562)
		サイト数	比率
	サイト閉鎖	6	1.1%
	サイト改善（管理者アクセスが保護された）	8	1.4%