経産省が注意喚起!「EC-CUBE」の脆弱性で被害

近年、ECサイトにおいて、決済画面を改ざんされてクレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が日本国内で増加しているという。EC-CUBEにおいても2系を利用する店舗で被害が複数報告されているという。この事態をうけ、経産省は12月20日に利用者に対しての注意喚起を行った。

<画像:経済産業省HPより>

株式会社イーシーキューブも事態は認めており、特に「EC-CUBE」2系の利用店舗で事故が多発しているとして、セキュリティチェックの態勢を整える。
経産省によれば、クレジットカード番号が窃取されたなど、現在までにネットショップが公表した関連の漏洩事案は約14万件に上っているという。同省は「甚大な被害」として、イーシーキューブとネットショップ関係者に対し、「EC-CUBE」の利用状況について検証を促し、利用を継続する場合には的確な安全対策を講じることを求めている。

同社は2019年5月9日付でクレジットカード情報が流出する恐れがあることの注意喚起は行っている。
しかしながら、ユーザーのセキュリティ対策の不備もあり、恐れていた通りに被害が発生してしまった。

しかしながら、EC-CUBEには脆弱性問題がつきまとう。10月には「EC-CUBE」向けに提供されている決済モジュール「ルミーズ決済モジュール」にクロスサイトスクリプティング(XSS)の脆弱性や、情報漏洩の脆弱性など複数の脆弱性が含まれていたことがJVNにて報告されるなどもあった。

 

イーシーキューブによれば、以下のセキュリティ対策が十分に行われていない場合において、EC-CUBE のファイルを改ざんされ、攻撃を受ける可能性があるという。

・正しいインストール環境設定
・EC-CUBE の既知の脆弱性修正対策
・利用しているサーバーのセキュリティ対策
・EC サイトの管理画面のセキュリティ対策
・同じ環境に設置されている他の CMS のセキュリティ対策

 

具体的なチェック事項と対策方法については以下のURLを参照してください。

■具体的なチェック事項と対策方法
https://www.ec-cube.net/user_data/news/201905/security_notice.pdf

 

尚、イーシーキューブは利用店舗向けに「セキュリティチェックリスト」を公開し、確認を促している。

<画像出典:EC-CUBEより>

 

便利なツールで誰しもがECサイトを構築できる世の中になった。これはとても良いことであるが、その反面、サイト管理の専門性は低下していることは間違いない。
防げるはずのことが防げないというのは、AT車のブレーキとアクセルの不見間違いにも通じるものがあると思う。簡単にできること提供する人は、管理についても提供者が面倒を見なければならない時代になったといえるのだろう。

 

【執筆:編集Gp ハラダケンジ】

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 「セキュリティの未来は雲の中に」SASEはDXの切り札か(前編)

  2. シリーズ『IDaaSの教科書』4)認証強化の種類とその仕組み

  3. テレワークとIT業務委託のセキュリティ実態調査-IPA

  4. 「ゼロから学ぶ」セキュリティ脅威(基礎編) #2 どうやって守り、その手法は?

  5. ”ウィズコロナ”時代の情シス業務

  6. 【情報セキュリティ10大脅威 2021】ニューノーマルな働き方を狙った攻撃がランクイン-IPA

  7. 「ゼロから学ぶ」セキュリティ脅威(基礎編) #1 セキュリティは何を守るのか

  8. いまさら聞けない【情シス知識】暗号化ファイルのメール添付はなぜ危険!?

  9. シリーズ『IDaaSの教科書』3)徹底解説!SSOの仕組みを理解する

  10. 松田軽太の「一人情シスのすゝめ」#16:RPAやローコード開発を導入検討中の方は要注意

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. 多忙な日常業務を送る情シスの皆さん。範囲が広く技術の底が深いセキュリティについて「実は把握できていな…
  2. 多忙な日常業務を送る情シスの皆さん。範囲が広く、そして技術の底も深いセキュリティについて「実は把握で…
  3. WordファイルやExcelファイルなどの編集が終わったら、パスワード付きでZIP圧縮。メールにZI…
  4. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  5. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
ページ上部へ戻る