EC-CUBE2系で構築したECサイトは決済画面の改ざんの可能性あり

昨日、EC-CUBEを開発した(株)イーシーキューブより「【経済産業省より注意喚起】セキュリティ対策の確認と、無料セキュリティ診断のお願い」というメール及びニュースリリースがありました。当社もしくは他社にてEC-CUBEを使用してECサイトを構築した場合は、必ず以下を読み対応してください。年末にこんなメール出すなよ、と言いたいのはわかりますが購入者のクレジットカード番号が抜き取られたら、正月休みは確実に無くなります。特に年末年始のような大型連休はネット犯罪が増える時期で、会社の担当者にも連絡が取りにくくなるため、対応が後手後手になり被害が広がることになります。そうなればECサイトの運営どころではなく、被害対応に追われることになるでしょう。最悪の場合、ECサイトの運営が困難になる可能性もあります。

概要

昨今、ECサイトの改ざんによるクレジットカード情報の流出が増えています。その手口は「フォームジャッキング」と言われ、決済画面を改ざんして購入者のクレジットカード情報を抜き取ります。特にEC-CUBE2系を使用しているECサイトにてこのような被害が増加しているため、EC-CUBE2系を使用しているECサイト運営者は早急に状況を確認しセキュリティ対策が行われていない場合は対策を施す必要があります。

改ざんの可能性が高いECサイト

EC-CUBE2系を使用したECサイトの中でも、特にどのようなECサイトで被害が多いのでしょうか。それは次の5つの対策が行われていないサイトです。

  1. 正しいインストール環境設定
  2. EC-CUBE の既知の脆弱性修正対策
  3. 利用しているサーバのセキュリティ対策
  4. EC サイトの管理画面のセキュリティ対策
  5. 同じ環境に設置されている他の CMSのセキュリティ対策

上記のいずれかに該当する場合は、ただちに構築を依頼した制作会社に連絡をしてください。

対応方法

(株)イーシーキューブからは無償のセキュリティ診断を行うことを推奨しています。もし自社のECサイトをチェックしたい場合は下の2つの企業に問い合わせましょう。

この無償診断の結果を元に、提携している制作会社に対応依頼を出しましょう。当社でもセキュリティ対策を行っていますので、お困りの場合はお気軽にご連絡ください。

今後のことを考えるきっかけに

なぜEC-CUBE2系の被害が多いのでしょうか。これはEC-CUBE自体がオープンソースであることと、バージョンが古いことが原因です。このブログでも何度も申し上げていますが、オープンソースはその名の通りプログラムが公開されているため、それを読み解く知識があれば脆弱性を見つけることができます。また、EC-CUBEはダウンロード型であり、バージョンアップなどのアップデートは自社にて対応しなければいけません。

一方、クラウド型のECサイト構築サービス(有名なのはカラーミーショップやMakeshop)はプログラムを公開していないため、オープンソースと比較して改ざんされる可能性は低くなります。また、アップデートに関しても運営会社が勝手に行ってくれるため、手間がかからず忘れることもありません。

それではEC-CUBE2系から最新のEC-CUBE4へ移行すれば問題ないのか。残念ながらそれだけでは本質的な問題は解決されません。現在最新のEC-CUBE4もいずれは古いプログラムになります。つまり、EC-CUBEのようなダウンロード型オープンソースを使用した場合は永遠に自社でセキュリティ対策を施し続ける必要があるということです。これが自社の運営ポリシーに則してるのであればその体制を整え運営するばよいと思いますが、「それは負担がかかる」「その都度対策費用を出したくない」という考えがあるのであれば、これを期にEC-CUBEからクラウド型へ移行するという方法も考えられます。

ECサイトは構築そのものよりも持続的かつ安定的に運営することが重要です。機能性や拡張性だけに捉われるのではなく、長期的な視点でプラットフォームを選びましょう。ちなみに、現在はクラウド型でも拡張性の高いエンタープライズ向けのサービスも多数出ています。カラーミーショップやMakeshopなどで満足できない場合は、そのようなサービスを利用することもご検討ください。

 (株)イーシーキューブ ニュースリリース

関連記事

  1. 【BASE無料アプリ】年齢制限

  2. 【EC-CUBE4】プラグインのバージョンアップ情報(2020.5.2…

  3. 【BASE無料アプリ】越境ECのための配送アプリ「NEOlogi」

  4. 【EC-CUBE新着プラグイン】新規顧客は送料無料

  5. はじめてのBtoBサイト構築(おすすめプラットフォーム)

  6. EC-CUBEにAmazon Payを導入する方法