eコマースのプラットフォームに不正アクセス、個人情報などが漏洩 - バックドアのUIは中国語

パイプドビッツは、同社が提供するアパレル向けeコマースプラットフォーム「スパイラルEC」が不正アクセスを受け、プラットフォーム上で運営されていたeコマースサイトの個人情報が流出したことを明らかにした。

同社によれば、同プラットフォームの設定に問題があり、攻撃者によってバックドアが設置され、外部より不正な操作が行われていたことが判明したもの。

同社子会社と講談社が運営する「NET ViVi Coordinate Collection」より、会員1万0946件を含む注文情報1万5581件がファイルとして第三者によりダウンロードされたことが判明した。

くわえてファイルのダウンロードなどは確認されていないが、同プラットフォームの利用企業40社が運営する42サイトにおいて、会員約98万件の一部情報が閲覧された可能性がある。決済代行サービスとの連携設定なども一部閲覧された。

同社によれば、サービスをリリースした2010年4月より、無効化すべき機能が有効な状態で、外部から任意のファイルを設置できる状態だった。

最初に攻撃を受けたのは2015年11月。同月にプラットフォーム上のeコマースサイトを狙い、複数のバックドアを設置されたほか、同バックドアを通じて、最大5400回にわたるコマンドの実行や、約29万回にわたるSQLインジェクション、クロスサイトスクリプティングなどの不正アクセスを受けていた。310種類のファイルが取得されたが、これらファイルには個人情報などは含まれていなかったという。

一時攻撃は収まっていたが、2016年4月13日より「NET ViVi Coordinate Collection」を対象とした攻撃が発生。あらたにバックドアを設置されたほか、約59万回のSQLインジェクションやクロスサイトスクリプティングなどの攻撃が発生。約3000回にわたり、シェルコマンドが実行されていた。

攻撃者はファイル閲覧や、データベースへの接続試行により、情報を収集。eコマースサイト運営者が管理画面へログインするためのIDや、パスワードのメッセージダイジェストを取得し、それらを用いて管理画面に侵入、注文データをダウンロードしていた。さらに与信情報の改ざんや、これまでとは別のeコマースサイトを対象に管理画面へ侵入に成功した形跡が見つかっている。

設置されたバックドアのユーザーインタフェースは、いずれも中国語だった。また今回の攻撃では、外部に公開していたテスト環境の脆弱性なパスワードを設定しており、パスワードのメッセージダイジェストの解析に用いられた可能性がある。

今回不正アクセスについて同社は、データベースへアクセスできるにもかかわらず、データベースのダンプファイルを取得せず、あえて注文情報をダウンロードしたことから、クレジットカード番号を狙った攻撃と分析している。

同社では問題の発覚を受けて、バックドアが設置される原因となった機能を無効化したほか、ファイル拡張子による制限や監視の強化、不正プログラムの削除など対策を講じた。

一方同社は、「スパイラル」「スパイラルPLACE」「ネットde会計」といった他サービスに関し、今回のシステムとは異なり、同様の攻撃は成立しないと説明。バックドアなどが設置されていないことも確認したとしている。

（Security NEXT - 2016/06/22 ）ツイート

eコマースのプラットフォームに不正アクセス、個人情報などが漏洩 - バックドアのUIは中国語

関連リンク

PR

関連記事