経産省が注意喚起!「EC-CUBE」の脆弱性で被害
近年、ECサイトにおいて、決済画面を改ざんされてクレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が日本国内で増加しているという。EC-CUBEにおいても2系を利用する店舗で被害が複数報告されているという。この事態をうけ、経産省は12月20日に利用者に対しての注意喚起を行った。
<画像:経済産業省HPより>
株式会社イーシーキューブも事態は認めており、特に「EC-CUBE」2系の利用店舗で事故が多発しているとして、セキュリティチェックの態勢を整える。
経産省によれば、クレジットカード番号が窃取されたなど、現在までにネットショップが公表した関連の漏洩事案は約14万件に上っているという。同省は「甚大な被害」として、イーシーキューブとネットショップ関係者に対し、「EC-CUBE」の利用状況について検証を促し、利用を継続する場合には的確な安全対策を講じることを求めている。
同社は2019年5月9日付でクレジットカード情報が流出する恐れがあることの注意喚起は行っている。
しかしながら、ユーザーのセキュリティ対策の不備もあり、恐れていた通りに被害が発生してしまった。
しかしながら、EC-CUBEには脆弱性問題がつきまとう。10月には「EC-CUBE」向けに提供されている決済モジュール「ルミーズ決済モジュール」にクロスサイトスクリプティング(XSS)の脆弱性や、情報漏洩の脆弱性など複数の脆弱性が含まれていたことがJVNにて報告されるなどもあった。
イーシーキューブによれば、以下のセキュリティ対策が十分に行われていない場合において、EC-CUBE のファイルを改ざんされ、攻撃を受ける可能性があるという。
・正しいインストール環境設定
・EC-CUBE の既知の脆弱性修正対策
・利用しているサーバーのセキュリティ対策
・EC サイトの管理画面のセキュリティ対策
・同じ環境に設置されている他の CMS のセキュリティ対策
具体的なチェック事項と対策方法については以下のURLを参照してください。
■具体的なチェック事項と対策方法
https://www.ec-cube.net/user_data/news/201905/security_notice.pdf
尚、イーシーキューブは利用店舗向けに「セキュリティチェックリスト」を公開し、確認を促している。
<画像出典:EC-CUBEより>
便利なツールで誰しもがECサイトを構築できる世の中になった。これはとても良いことであるが、その反面、サイト管理の専門性は低下していることは間違いない。
防げるはずのことが防げないというのは、AT車のブレーキとアクセルの不見間違いにも通じるものがあると思う。簡単にできること提供する人は、管理についても提供者が面倒を見なければならない時代になったといえるのだろう。
【執筆:編集Gp ハラダケンジ】