経産省が注意喚起!「EC-CUBE」の脆弱性で被害

近年、ECサイトにおいて、決済画面を改ざんされてクレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が日本国内で増加しているという。EC-CUBEにおいても2系を利用する店舗で被害が複数報告されているという。この事態をうけ、経産省は12月20日に利用者に対しての注意喚起を行った。

<画像:経済産業省HPより>

株式会社イーシーキューブも事態は認めており、特に「EC-CUBE」2系の利用店舗で事故が多発しているとして、セキュリティチェックの態勢を整える。
経産省によれば、クレジットカード番号が窃取されたなど、現在までにネットショップが公表した関連の漏洩事案は約14万件に上っているという。同省は「甚大な被害」として、イーシーキューブとネットショップ関係者に対し、「EC-CUBE」の利用状況について検証を促し、利用を継続する場合には的確な安全対策を講じることを求めている。

同社は2019年5月9日付でクレジットカード情報が流出する恐れがあることの注意喚起は行っている。
しかしながら、ユーザーのセキュリティ対策の不備もあり、恐れていた通りに被害が発生してしまった。

しかしながら、EC-CUBEには脆弱性問題がつきまとう。10月には「EC-CUBE」向けに提供されている決済モジュール「ルミーズ決済モジュール」にクロスサイトスクリプティング(XSS)の脆弱性や、情報漏洩の脆弱性など複数の脆弱性が含まれていたことがJVNにて報告されるなどもあった。

 

イーシーキューブによれば、以下のセキュリティ対策が十分に行われていない場合において、EC-CUBE のファイルを改ざんされ、攻撃を受ける可能性があるという。

・正しいインストール環境設定
・EC-CUBE の既知の脆弱性修正対策
・利用しているサーバーのセキュリティ対策
・EC サイトの管理画面のセキュリティ対策
・同じ環境に設置されている他の CMS のセキュリティ対策

 

具体的なチェック事項と対策方法については以下のURLを参照してください。

■具体的なチェック事項と対策方法
https://www.ec-cube.net/user_data/news/201905/security_notice.pdf

 

尚、イーシーキューブは利用店舗向けに「セキュリティチェックリスト」を公開し、確認を促している。

<画像出典:EC-CUBEより>

 

便利なツールで誰しもがECサイトを構築できる世の中になった。これはとても良いことであるが、その反面、サイト管理の専門性は低下していることは間違いない。
防げるはずのことが防げないというのは、AT車のブレーキとアクセルの不見間違いにも通じるものがあると思う。簡単にできること提供する人は、管理についても提供者が面倒を見なければならない時代になったといえるのだろう。

 

【執筆:編集Gp ハラダケンジ】

関連記事

ピックアップ記事

  1. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  2. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 怪しい添付ファイルやURLリンクを開いてしまったときの対処法【2020年】-is702

  2. 中小企業向けテレワーク(在宅勤務)ツール14選~コラボ業務編~

  3. 情報セキュリティ関連文書(NIST)を翻訳&公開-IPA

  4. 松田軽太の「一人情シスのすゝめ」#11:複雑な関数やVBAをやめたら属人化Excelは無くなるのか?

  5. いまさら聞けない【情シス知識】SSLとTLSって何?

  6. シリーズ”ウィズコロナ”#01:テレワークと安全配慮義務

  7. 「ゼロから学ぶ」ゼロトラスト#01:守るから許すセキュリティへ

  8. テレワークの意識調査:安全のためにセキュリティ教育が重要なワケ-セキュリティブログ

  9. 【知っ得スキル】もらってうれしいRFP ~第2章~システム要件

  10. 経済産業省:「DX銘柄2020」「DX注目企業2020」を選定

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. Google検索におけるページランクのアルゴリズムやChromeの安全性を高めるための手段として、「…
  2. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  3. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
  4. WebサイトのURLには「http://」で始まるものと「https://」で始まるものの2種類があ…
  5. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
ページ上部へ戻る