特定のEC-CUBEベースパッケージソフトにおける対応状況不明の脆弱性について

概要

特定のEC-CUBEベースパッケージソフトウェアに、利用者の登録情報が漏洩する脆弱性JVN#51770585を含む複数の脆弱性が2016年9月9日現在も残存しているおそれがあります。パッケージベンダーによる対応が見込めないため、安全性が確認できない場合は独自に対策を行うか使用を中止することをご検討下さい。

"EC-CUBE(オリジナル)"、"EC-CUBE B2B"、"カゴラボ"は本件の対象ではありません。

Update

2017/1/19 IPA・JPCERTから連絡があったので時系列に追記しました。パッケージ名の公開について追記しました。

詳細

当方は2015年6月に国内企業(以降、A社)の提供するEC-CUBEベースパッケージソフトウェアに、EC-CUBEオリジナル版で公開・対策済みの既知の脆弱性と推測される挙動を確認しました。この脆弱性は悪用された場合に情報の漏洩を伴い、かつ攻撃方法が事実上既知・容易と悪条件が整っています。またA社は該当ソフトウェアを数百社に導入していると自称している事から、悪用された場合に非常に大きな影響が生じることが懸念されます。

本件についてIPA(独立行政法人 情報処理推進機構)の「情報セキュリティ早期警戒パートナーシップ」を利用し、IPA・JPCERT/CCを通じてA社に報告しましたがIPA・JPCERTの再三の連絡にも関わらず、1年以上に渡り回答が得られることはなく現時点においても対応状況は不明です。脆弱性の公開から既に2年が経過しており、A社からの対応見込みもない事から利用者自身による対応を促すため、本ページで部分的にではありますが情報を公開します。

なお情報セキュリティ早期警戒パートナーシップでは脆弱性情報の非開示が求められていますが、本ページの公開にあたり、「非開示依頼の取り下げ」を頂いています。

影響範囲

A社と連絡が取れず、同意が得られていないため本ページで具体的なパッケージ名は公開できません。の公開時期は検討中です。(2017/1/19追記)
影響しない事が確認できている製品は下記のとおりです。

パッケージ名	ベンダー	ステータス
EC-CUBE(オリジナル)	株式会社ロックオン	対象外(2014年1月対応済み)
EC-CUBE B2B	株式会社ロックオン	対象外(2014年1月対応済み)
カゴラボ	株式会社アラタナ	対象外(2014年1月対応済み)

このリストにない製品の対応状況についてはベンダーにお問い合わせ下さい。

「今直っていようが、闇改修や杜撰なパッチ管理は許容できない」という方は、問い合わせの際に「いつ対応したか」も確認の上、バックアップ等から/data/class/pages/shopping/LC_Page_Shopping_Multiple.phpの修正日が一致しているかも併せて確認されると良いかもしれません。本脆弱性の公開日は2014年1月22日ですので、対応日や適用日がこの日から後ろに大きくずれているなら、おかしいという事になります。修正箇所はこちらを参照下さい。

※上記に記載がなく影響がない製品のベンダー様はお知らせ下さい。

想定される被害

ショッピングサイト利用者によって、他の利用者の登録情報を取得される可能性があります。JVN#51770585が既に公開されていますので詳しくはこちらを参照下さい。
また本件の根本的な原因は長期間に渡るパッチの適用漏れであると推測され、その他の既知の脆弱性も残存している事が懸念されます。

対策

A社からのパッチ提供状況は不明です。EC-CUBE開発元である株式会社ロックオン社の提供するパッチを適用することで対策できる可能性がありますが、有効性・互換性は確認できていないため自己責任でお願いします。

WAFによる防御については、単純なブラックリスト方式の場合は対応できないと考えられます。JVN#51770585の対応状況についてWAFベンダー様にご確認下さい。

前述の通り、状況的にその他の脆弱性も残存している事が十分考えられるため、正式な対策がアナウンスされるまで使用を中止する事もご検討下さい。

時系列

• 2015/6/28 脆弱性確認
• 7/6 IPAへ脆弱性情報届出
• 7/7 IPAより受理連絡
• 7/29 JPCERT/CCが製品開発者への連絡を開始
• --- 約1年経過 ---
• 2016/7/27 情報非開示取り下げ依頼(間違って2日早く依頼)
• 8/17 製品開発者より回答がなかったため、情報非開示取り下げ決定
• 8/18- 情報公開について関係者へ予告・調整及び情報収集
• 8/22 第三者より「A社は8/25を目処に対応完了目処を決定」等の情報を入手（誤報？）
• 8/24 22日の情報についてIPA・JPCERT経由での連絡が来ないので、事実関係を問い合わせ
• 8/25 IPA・JPCERTより回答「連絡はあったが具体的な日程については不知」
• 9/1 22日の情報にあった対応完了目処の予定日を過ぎても連絡が来ないのでIPA・JPCERT経由で「対応完了予定日・公開予定日について9/8 9:00までに回答が無ければ公開する」旨を改めて連絡
• 9/8 IPA・JPCERTより連絡、「9/1以降、3回連絡したが回答がない」
• 9/9 本ページ公開
• 2017/1/19 IPA・JPCERTより連絡、「昨年9月以降連絡が取れていない」

Q&A

• 対象パッケージ名や会社名はなぜ非公開？　無関係なパッケージメーカーに迷惑では？
• 連絡が取れず公開の同意が得られなかったためです、EC-CUBE公式サイトで探すことのできた無関係なパッケージベンダー4社には事前に連絡し、うちロックオン様とカゴラボ様から回答を頂き影響がない旨を記載しました。今後も情報があれば更新します。公開時期は検討中です。(2017/1/19追記)
• IPA・JPCERTを介さずに直接連絡するか、関係会社を経由して連絡すべきでは？
• 「IPA・JPCERTからの連絡は無視しても良いんだ」という前例を作るべきではありません。IPA・JPCERTに回答できず当方に回答できる理由も見当たらず、何より調整に尽力しているIPA・JPCERTに対して失礼だと思います。
• 公開はA社に予告したのか？　不意打ちは反則でないか？
• IPAへの情報非開示取り下げは7月27日に、また公開する旨を9月1日に再度IPA・JPCERT経由で連絡しています。また第三者経由で8月18日に伝わったという情報もあります。これらに対してA社から回答や延期要請は受けていません。
• 対応中との情報があったのに、なぜ対応完了を待たずに公開した？
• 第三者経由で対応中との情報はあったもののIPA・JPCERTへの連絡はなく、情報にあった対応決定予定日を一週間以上過ぎても何の動きも無い、連絡が途絶える等の状況から、誤報であり対応は進んでいないと判断しました。仮に進んでいたとしても上述の通り延期要請は来ていません。
• この情報は利用者を危険に晒すのではないか？
• 本ページでは脆弱性の詳細についてJVNで公開済の情報及びロックオン社から公開されているパッチに記載されている情報以外は記載していません。最近話題のExploitもありません。

所感

業界トップクラスを自称し、セキュリティ面の信頼性も謳う会社が、1年以上も前のパッチを適用しない状態で製品を提供し、かつ情報提供に対しても1年以上も反応を示さなかった事は大変残念です。

「国内企業のパッケージソフトウェアだから安心」「ベンダーがセキュリティ大丈夫って言ってる」と信じ込んで冷や汗をかいた人を何回も見てきましたが、そんなものは何の保証にもならないという事を示す悪例と言えるでしょう。利用者の皆様はインシデントが起きてもベンダーが全面的に責任を問われる事はまずない、という事もどうかお忘れなく。（個人的にはリンクの判例でもベンダーに不利だと思っています）

IPA・JPCERTの動き

IPA・JPCERTは取り下げの判断には慎重だった一方、一度取り下げた後は事態が動き出した後も「やっぱり非開示にして」とはなりませんでした。後出しジャンケンは認めないという姿勢を示したものでしょう。

過去の事例から、あと数年はかかってしまうでしょうが連絡不能脆弱性としての情報公開を期待しています。

関係会社と連絡を取ってみて

IPA・JPCERTの呼びかけに全く応じなかったA社が、情報収集の課程で生じた第三者からの連絡に反応したのは全くの想定外でした。情報非開示依頼の取り下げ後も即座に公開に移るのではなく、関係者を（迷惑をかけない範囲で）巻き込んで粘り強くコンタクトを取っていくことが良い結果に繋がるかもしれませんね。結局踊らされた感があった上に、連絡も途絶えましたが・・・。

逆に、カゴラボを開発しているアラタナ様とパッケージ製品の取扱があると間違えて連絡してしまった某社様の対応は、ものすごく前のめりで申し訳ないぐらいでした。何なんでしょうこの温度差は・・・。

謝辞

偏屈な報告者と寡黙な開発者の間で粘り強く調整に尽力いただいたIPA・JPCERT/CCの皆様と、本ページの公開にあたりレビューにご協力頂いた皆様、本来無関係にも関わらず対応状況の確認にご協力頂いたEC-CUBE関連製品をお取り扱いの各社様に御礼申し上げます。