EC-CUBEの脆弱性突かれカード情報910件流出

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

EC-CUBEの脆弱性突かれカード情報910件流出→WAF導入で阻止されていた

– 6月22日(日本時間)、鹿児島県志布志市より、同市の「ふるさと納税特設サイト」が不正アクセスを受け、クレジットカード情報が流出していたと発表されました。

– 被害を受けたのは、2021年3月12日~12月29日に同サイトでカード決済を行ったユーザー910件分のクレジットカード情報(番号・有効期限・セキュリティコード)およびWebサイトのログイン情報または電話番号(会員非登録者について)とされています。

– 不正アクセスが発覚したのは4月6日で、使用していたECサイト構築用ソフトウェア「EC-CUBE」の脆弱性を突かれたものとされている一方、2021年12月29日にWAFを導入して以降の情報流出は確認されていないとのことです。

AUS便りからの所感 AUS便りからの所感

発表では、悪用されたのはクロスサイトスクリプティングの脆弱性とされ、これにより、カード情報を窃取するためのプログラムを埋め込まれたとされています。

脆弱性が既にセキュリティアップデートが出ていたものか、それ以外のゼロデイの脆弱性なのかは現時点で明確ではありませんが、長期間アップデートを実施しておらず、脆弱性を悪用された情報流出に気付かないまま、WAFを導入した結果、たまたま流出を食い止めることに成功していた可能性があります。

もちろん根本的な脆弱性への対策としてソフトウェアを最新バージョンに保つことが最も重要ですが、WAFやUTM等の導入による多重対策の検討は万が一の対策漏れを補完する目的では決して無意味なものではないでしょう。


Chromeに4件の脆弱性、セキュリティアップデート114.0.5735.198等適用を

– 6月26日(現地時間)、Google社開発のChromeブラウザーにおいて、4件の重大な脆弱性(CVE-2023-3420, CVE-2023-3421, CVE-2023-3422他)が発表され、セキュリティアップデートがリリースされています。

– 脆弱性はJavaScriptエンジンやメディア処理部分等に存在し、悪意のあるWebサイトの閲覧等により、ブラウザーを実行しているPCを乗っ取られる恐れがあるとされています。

– Windows・Mac・Linux向けにセキュリティアップデート114.0.5735.198(およびWindows向けに114.0.5735.199)、Android向けに114.0.5735.196がリリースされており、インストールが強く推奨されます。

AUS便りからの所感 AUS便りからの所感

Chromeと同じエンジンを使用する他のブラウザーにも同様の脆弱性が存在する可能性があり、例えばEdgeブラウザーにおいても今後セキュリティアップデートがリリースされる予定となっています(6月27日現在の最新バージョン114.0.1823.58は未対策とみられます)。

Chromeではアップデートの適用後に再起動を促すメッセージが表示されますが、リリースから適用・メッセージの表示までタイムラグが発生する場合があるため、「ヘルプ」→「Google Chromeについて」(もしくはchrome://settings/help )にて、最新バージョンへ確実にアップデートされているか確認する習慣をつけることが肝要です。


日本郵政等サイト上の不審なスパムタイトルがGoogleに掲載…サイト検索の仕様を悪用か

– 6月19日(日本時間)頃、Googleで日本郵政のWebサイトを検索した結果に不審なタイトルのリンクが多数表示されるとTwitter上で報告がありました。

– タイトルの例として「最新情報を入手するには私のlineを追加」といったキーワードを含み、連絡先も記載されているものが挙げられているほか、他のサイト下でも同様のタイトルのリンクが表示されることもが報告されています。

– Webサイトの検索機能を悪用し、不正なキーワードで検索した結果を第三者が検索エンジンに登録させる手口とされています。

AUS便りからの所感 AUS便りからの所感

Webサイト側の検索機能の仕様により、「検索結果がなかった」場合でも、入力したキーワードがタイトルに表示される(そして検索エンジン上のリンクでもタイトルに使用される)、またそのページが「Not Found(コンテンツが存在しない)」として扱われないために検索エンジンに登録されてしまうことを、スパム業者等が不正なSEOの手口に悪用しているとされています。

このような「検索結果がなかった」等のエラーページがGoogle等に登録されないようにするには、エラーページのステータスコードとして「200 OK」ではなく「404 Not Found」等を設定することが有用です。

あるいは正当な検索結果があった場合等でも特定のページをGoogle等に登録されたくない場合は、検索エンジンが情報収集を行うボットへの動作指示として、robots.txtの設定あるいはHTML内にといったHTMLタグを埋め込む等を行うことを推奨致します。