Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

eコマースのプラットフォームに不正アクセス、個人情報などが漏洩 - バックドアのUIは中国語

パイプドビッツは、同社が提供するアパレル向けeコマースプラットフォーム「スパイラルEC」が不正アクセスを受け、プラットフォーム上で運営されていたeコマースサイトの個人情報が流出したことを明らかにした。

同社によれば、同プラットフォームの設定に問題があり、攻撃者によってバックドアが設置され、外部より不正な操作が行われていたことが判明したもの。

同社子会社と講談社が運営する「NET ViVi Coordinate Collection」より、会員1万0946件を含む注文情報1万5581件がファイルとして第三者によりダウンロードされたことが判明した。

くわえてファイルのダウンロードなどは確認されていないが、同プラットフォームの利用企業40社が運営する42サイトにおいて、会員約98万件の一部情報が閲覧された可能性がある。決済代行サービスとの連携設定なども一部閲覧された。

同社によれば、サービスをリリースした2010年4月より、無効化すべき機能が有効な状態で、外部から任意のファイルを設置できる状態だった。

最初に攻撃を受けたのは2015年11月。同月にプラットフォーム上のeコマースサイトを狙い、複数のバックドアを設置されたほか、同バックドアを通じて、最大5400回にわたるコマンドの実行や、約29万回にわたるSQLインジェクション、クロスサイトスクリプティングなどの不正アクセスを受けていた。310種類のファイルが取得されたが、これらファイルには個人情報などは含まれていなかったという。

一時攻撃は収まっていたが、2016年4月13日より「NET ViVi Coordinate Collection」を対象とした攻撃が発生。あらたにバックドアを設置されたほか、約59万回のSQLインジェクションやクロスサイトスクリプティングなどの攻撃が発生。約3000回にわたり、シェルコマンドが実行されていた。

攻撃者はファイル閲覧や、データベースへの接続試行により、情報を収集。eコマースサイト運営者が管理画面へログインするためのIDや、パスワードのメッセージダイジェストを取得し、それらを用いて管理画面に侵入、注文データをダウンロードしていた。さらに与信情報の改ざんや、これまでとは別のeコマースサイトを対象に管理画面へ侵入に成功した形跡が見つかっている。

設置されたバックドアのユーザーインタフェースは、いずれも中国語だった。また今回の攻撃では、外部に公開していたテスト環境の脆弱性なパスワードを設定しており、パスワードのメッセージダイジェストの解析に用いられた可能性がある。

今回不正アクセスについて同社は、データベースへアクセスできるにもかかわらず、データベースのダンプファイルを取得せず、あえて注文情報をダウンロードしたことから、クレジットカード番号を狙った攻撃と分析している。

同社では問題の発覚を受けて、バックドアが設置される原因となった機能を無効化したほか、ファイル拡張子による制限や監視の強化、不正プログラムの削除など対策を講じた。

一方同社は、「スパイラル」「スパイラルPLACE」「ネットde会計」といった他サービスに関し、今回のシステムとは異なり、同様の攻撃は成立しないと説明。バックドアなどが設置されていないことも確認したとしている。

(Security NEXT - 2016/06/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

1月に通販サイトへ不正アクセス、クレカなど個人情報が流出 - 優生活
ぴあ受託サイトでクレカ情報流出、630万円の不正使用 - 「Struts 2」脆弱性が原因で
政府統計システムから個人情報2.3万件が流出か - 原因はStruts2脆弱性
日本語能力試験の受験者管理システムに不正アクセス - 受験者の顔写真が流出か
GMO-PG、情報流出で重複分除く件数を公表 - クレカ不正利用は未確認
不正アクセスで顧客情報4.9万人流出の可能性 - 東商マート
フォレンジック調査で個人情報流出が確定 - GMO-PG
自転車通販ショップに不正アクセス - 顧客情報が流出の可能性
JINS通販サイトで個人情報が流出か - 「Apache Struts 2」脆弱性が再度原因に
不正アクセスによる個人情報漏洩でGMO-PGに報告を要請 - 経産省