経産省が注意喚起!「EC-CUBE」の脆弱性で被害

近年、ECサイトにおいて、決済画面を改ざんされてクレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が日本国内で増加しているという。EC-CUBEにおいても2系を利用する店舗で被害が複数報告されているという。この事態をうけ、経産省は12月20日に利用者に対しての注意喚起を行った。

<画像:経済産業省HPより>

株式会社イーシーキューブも事態は認めており、特に「EC-CUBE」2系の利用店舗で事故が多発しているとして、セキュリティチェックの態勢を整える。
経産省によれば、クレジットカード番号が窃取されたなど、現在までにネットショップが公表した関連の漏洩事案は約14万件に上っているという。同省は「甚大な被害」として、イーシーキューブとネットショップ関係者に対し、「EC-CUBE」の利用状況について検証を促し、利用を継続する場合には的確な安全対策を講じることを求めている。

同社は2019年5月9日付でクレジットカード情報が流出する恐れがあることの注意喚起は行っている。
しかしながら、ユーザーのセキュリティ対策の不備もあり、恐れていた通りに被害が発生してしまった。

しかしながら、EC-CUBEには脆弱性問題がつきまとう。10月には「EC-CUBE」向けに提供されている決済モジュール「ルミーズ決済モジュール」にクロスサイトスクリプティング(XSS)の脆弱性や、情報漏洩の脆弱性など複数の脆弱性が含まれていたことがJVNにて報告されるなどもあった。

 

イーシーキューブによれば、以下のセキュリティ対策が十分に行われていない場合において、EC-CUBE のファイルを改ざんされ、攻撃を受ける可能性があるという。

・正しいインストール環境設定
・EC-CUBE の既知の脆弱性修正対策
・利用しているサーバーのセキュリティ対策
・EC サイトの管理画面のセキュリティ対策
・同じ環境に設置されている他の CMS のセキュリティ対策

 

具体的なチェック事項と対策方法については以下のURLを参照してください。

■具体的なチェック事項と対策方法
https://www.ec-cube.net/user_data/news/201905/security_notice.pdf

 

尚、イーシーキューブは利用店舗向けに「セキュリティチェックリスト」を公開し、確認を促している。

<画像出典:EC-CUBEより>

 

便利なツールで誰しもがECサイトを構築できる世の中になった。これはとても良いことであるが、その反面、サイト管理の専門性は低下していることは間違いない。
防げるはずのことが防げないというのは、AT車のブレーキとアクセルの不見間違いにも通じるものがあると思う。簡単にできること提供する人は、管理についても提供者が面倒を見なければならない時代になったといえるのだろう。

 

【執筆:編集Gp ハラダケンジ】

関連記事

ピックアップ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  3. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  1. シリーズ【SSL可視化とセキュリティ】1)可視化が求められる背景

  2. ”アフターコロナ”の世界を情シス的に考える

  3. SOFTCREATE:テレワーク導入検討の専門チャンネル「テレワーク チャンネル」開設

  4. 新型コロナ感染防止のためテレワークシステムを無償開放-IPA

  5. レポート「おれたちは愛されコーポレートITになる」CORPORATE ENGINEER NIGHT#2

  6. 今から始めるテレワーク!#4 業務アプリの選定方法

  7. こんな時だからこそ、テレワークを安全に!-セキュリティブログ

  8. DX推進に向けたアジャイル開発版の「情報システム・モデル取引・契約書」-IPA

  9. 松田軽太の「一人情シスのすゝめ」#8:DXされると『ひとり情シス』の未来は明るくなるのか?

  10. 今から始めるテレワーク!#3 テレワークでおさえておくべきセキュリティとは

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. もはや当たり前になりすぎていて、「いまさら聞けない」ことを解説する本シリーズ。今回は、今の生活に欠か…
  2. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
  3. 個人情報の取り扱いには要注意。国内では個人情報保護法、欧州ではGDPRと個人情報を取り巻く情勢は大き…
  4. あなたの会社のホームページ(HP)はGDPRの対応がお済ですか? なんとなく気になっていてもアクショ…
  5. Windows 7サポート終了でWindows 10に切り替わるこの時期、アプリケーションや端末利用…
ページ上部へ戻る