経産省が注意喚起!「EC-CUBE」の脆弱性で被害

近年、ECサイトにおいて、決済画面を改ざんされてクレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が日本国内で増加しているという。EC-CUBEにおいても2系を利用する店舗で被害が複数報告されているという。この事態をうけ、経産省は12月20日に利用者に対しての注意喚起を行った。

<画像:経済産業省HPより>

株式会社イーシーキューブも事態は認めており、特に「EC-CUBE」2系の利用店舗で事故が多発しているとして、セキュリティチェックの態勢を整える。
経産省によれば、クレジットカード番号が窃取されたなど、現在までにネットショップが公表した関連の漏洩事案は約14万件に上っているという。同省は「甚大な被害」として、イーシーキューブとネットショップ関係者に対し、「EC-CUBE」の利用状況について検証を促し、利用を継続する場合には的確な安全対策を講じることを求めている。

同社は2019年5月9日付でクレジットカード情報が流出する恐れがあることの注意喚起は行っている。
しかしながら、ユーザーのセキュリティ対策の不備もあり、恐れていた通りに被害が発生してしまった。

しかしながら、EC-CUBEには脆弱性問題がつきまとう。10月には「EC-CUBE」向けに提供されている決済モジュール「ルミーズ決済モジュール」にクロスサイトスクリプティング(XSS)の脆弱性や、情報漏洩の脆弱性など複数の脆弱性が含まれていたことがJVNにて報告されるなどもあった。

 

イーシーキューブによれば、以下のセキュリティ対策が十分に行われていない場合において、EC-CUBE のファイルを改ざんされ、攻撃を受ける可能性があるという。

・正しいインストール環境設定
・EC-CUBE の既知の脆弱性修正対策
・利用しているサーバーのセキュリティ対策
・EC サイトの管理画面のセキュリティ対策
・同じ環境に設置されている他の CMS のセキュリティ対策

 

具体的なチェック事項と対策方法については以下のURLを参照してください。

■具体的なチェック事項と対策方法
https://www.ec-cube.net/user_data/news/201905/security_notice.pdf

 

尚、イーシーキューブは利用店舗向けに「セキュリティチェックリスト」を公開し、確認を促している。

<画像出典:EC-CUBEより>

 

便利なツールで誰しもがECサイトを構築できる世の中になった。これはとても良いことであるが、その反面、サイト管理の専門性は低下していることは間違いない。
防げるはずのことが防げないというのは、AT車のブレーキとアクセルの不見間違いにも通じるものがあると思う。簡単にできること提供する人は、管理についても提供者が面倒を見なければならない時代になったといえるのだろう。

 

【執筆:編集Gp ハラダケンジ】

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 悪しき慣習「パスワード付きzipファイル」もこれで終わるのか?

  2. 正規VPNインストーラにバックドアをバンドルし拡散する攻撃手口-セキュリティブログ

  3. パスワード付き圧縮ファイルに注意:IcedIDの攻撃が本格化の兆し-セキュリティブログ

  4. レポート「ニューノーマルの働き方改革 :すぐに始められるデジタル変革への道」後編

  5. レポート「ニューノーマルの働き方改革 :すぐに始められるデジタル変革への道」前編

  6. シリーズ『IDaaSの教科書』1)IDaaSって何ですか

  7. 【情シスの疑問】テレワークにVPNは必要なのか

  8. 「ゼロから学ぶ」ゼロトラスト#03:優先順位がキモ、ゼロトラストセキュリティ構築手順

  9. Office2010 EOS:サポート切れのソフトを使い続けてはいけないワケ-is702

  10. 知っ得スキル!もらってうれしいRFP ~最終章~提案受領へ

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  2. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
  3. WebサイトのURLには「http://」で始まるものと「https://」で始まるものの2種類があ…
  4. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  5. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
ページ上部へ戻る