狙われた「EC-CUBE バージョン2」
今回はECサイト(いわゆるネットショップ)の利用者ではなく運営者の方への警鐘になります。
ECサイトには、「楽天」や「Amazon」などのモール型サイトに出店しているものもあれば、独自のECサイトを作って運営している場合もあります。
今回は後者のケースが該当します。ECサイトの中核となるシステムを構築するには、完全にオリジナルで構築すると開発コストも期間も増大してしまうので、ECサイトの構築システムを使って構築する方法が以前より行われてきました。ECサイト構築システムの中で人気があり、利用サイトが多いのが、「EC-CUBE」というシステムです。
2020年現在、最新のシステムは「バージョン4」なのですが、それ以前の「バージョン2」のほうが、多くのECサイトで使われています。
しかし、EC-CUBEバージョン2に、導入時のセキュリティ設定を正しくしておかないと、決済のプロセスで利用者のクレジットカード情報などが漏洩してしまう脆弱性が発見されました。
この脆弱性によって漏洩したクレジットカード番号などは約14万件にものぼるとのことです。

クレジットカード情報非保持化でも防げないのか?
2018年6月から、ECサイトではクレジットカード情報を非保持化するように法律で定められました。
これによりECサイト側にはクレジットカード情報が置かれることはなくなり、盗まれることはなくなったのですが、これ以降もEC-CUBEバージョン2導入サイトでのクレジットカード情報の漏洩が起きていました。
調査報告によると、ECサイトでのクレジットカード決済プロセスによく使われている2つの方法が、どちらも攻撃対象となってしまっているということです。
ひとつ目の方法は、クレジットカード決済のフォーム画面はECサイト側で作り、そこからカード情報を入力送信するとクレジットカード決済サービス会社にクレジットカード情報が送られる「トークン型」と言われる処理方法です。
攻撃者は、EC-CUBEの脆弱性を利用して、ECサイトのフォームを改ざんして、クレジットカード情報を決済サービス会社に送るのと同時に、攻撃者のサーバにも送るようにすることで、カード情報を盗むのです。
そして困ったことに、この改ざんが行われているかどうかを、利用者は一切見破ることができないのです。

ふたつ目の方法は、「リダイレクト型」と言われる、クレジットカード決済の際に、画面をクレジットサービス会社側にリダイレクトさせて、そちらが用意した入力画面を使う方法です。
攻撃者は、クレジットカード入力画面の偽画面をECサイト側に作り、クレジットカード情報入力画面にリダイレクトする際に、この偽画面にリダイレクトするようにして、クレジットカード情報を入力させ、情報を攻撃者のサーバーに送るとともに、利用者の画面には「決済情報に誤りがあります」という決済サービスのエラー画面を表示させます。そしてそのエラー画面から再度入力をし直すためのリンクを用意し、そのリンク先に本物の入力画面を指定するのです。
こうすることで、再度入力しなおすと、正しい処理が行われ、決済完了画面なども全て本物が表示され、購入した商品やサービスもちゃんと購入できるので、利用者は騙されたことに気づきにくいのです。

このように、ECサイト側がクレジットカード情報を非保持にしているのにもかかわらず、クレジットカード情報が盗まれてしまう事態が発生していました。
しかも利用者も、ECサイト運営者も、そこでのクレジットカード決済での取引は正常に完了しているので、クレジットカード情報が盗まれていることに気づかないままになっていることが多い、というのが問題になっています。

ECサイトでのクレジットカード情報の不正取得は、悪意ある攻撃者により作られた悪意あるECサイトや、他のECサイトを偽装したサイトで行われることが多いのですが、今回紹介したケースでは、ECサイトを運営している側には悪意はなく、しかも自分のサイトが悪用されていることも気づかない、という点で大きな違いがあり、それが問題の根を大きくしている一因となっているのです。



今回ご紹介したEC-CUBEバージョン2での問題は、利用者側ではクレジットカードを不正利用された後に、気づいて連絡するくらいしか対策がありません。
ECサイト運営者の方は、サイトに利用しているECサイト構築システムを確認して、EC-CUBEバージョン2の場合は、改ざんが行われていないかどうかをすぐに確認し、セキュリティ設定を正しく行い、攻撃者の狙う穴をふさぐように対策しなければなりません。

ECサイト運営者の方は、まずは確認をお願いいたします。