EC-CUBEで発見された脆弱性について｜原因や対策について解説

経済産業省から発表されたEC-CUBEの脆弱性とは？

経済産業省は、2019年12月20日にEC-CUBEの脆弱性について発表しました。それはクレジットカードの流失被害で、決済画面が改ざんされてクレジットカード番号等が窃取されるという被害でした。その被害規模は約14万件にものぼるとされています。

ほかにも、IPAの「重要なセキュリティ情報」にて2021年5月10日に、クロスサイトスクリプティングの脆弱性について報告されています。クロスサイトスクリプティングとは、悪意のあるコードを閲覧者に実行し別のサイトに誘導する攻撃のことです。

これらの被害を受けてEC-CUBEでは、最新バージョンを利用するとともに、セキュリティチェックシートの活用も呼びかけています。

EC-CUBE以外でもクレジットカードの被害は多い

EC-CUBEに限らず、多くのECサイトでフィッシングやサイバー攻撃が横行しています。なかでもクレジットカードに関する被害は多く、2022年の年間不正利用被害のうち、90%ほどがクレジットカード番号の窃盗でした。

ECサイトにおけるクレジットカードの不正利用によって、不正注文が発生するケースもあります。クレジットカード所有者から異議申し立てがあると支払いが取り消され、クレジットカード会社からチャージバック請求が発生します。この場合、商品も代金も取り戻せないため、運営者にとっても大きなデメリットとなるでしょう。

こうした事実からも、ECサイトを運営する場合には高いセキュリティ意識が必要だと考えられます。

なぜEC-CUBEの脆弱性が狙われた3つの理由

EC-CUBEの脆弱性が狙われた理由は、以下の3つです。

• EC-CUBEはOSS（オープンソースソフトウェア）であるため
• セキュリティ対策が足りていない状態で運用されていたため
• EC-CUBEを適切にインストールできていなかったため

上記の理由について理解することで、脆弱性に対して漠然と不安を抱くのではなく、正しく事実を把握できるようになるでしょう。

EC-CUBEを利用する前に、必ずチェックしておいてください。ここからは、それぞれの理由について解説します。

EC-CUBEはOSS（オープンソースソフトウェア）であるため

EC-CUBEの脆弱性が狙われた理由は、EC-CUBEがOSS（オープンソースソフトウェア）だからです。

OSSとは、インターネット上でソースコードが公開されていて、誰でも無料で利用できるソフトウェアのことです。「Open Source Software」の頭文字を取って「OSS」と呼ばれます。

手軽に扱えるため、改変や再配布が自由に行えます。また性能が高いOSSもあるため、企業がOSSでECサイトを開発しているケースも珍しくありません。

OSSはユーザー数が多い上に、プログラムのソースコードが公開されているため、攻撃を受けやすいです。こうした性質から、EC-CUBEに限らずOSSは狙われやすいと考えられます。

セキュリティ対策が足りていない状態で運用されていたため

セキュリティ対策が足りていない状態で運用されていたことも、EC-CUBEの脆弱性が狙われた理由のひとつです。

EC-CUBEをはじめ、ECサイトの脆弱性を狙った攻撃方法は多様化しています。年々変化しているため、セキュリティ対策を行わないと攻撃されるリスクが非常に高いです。

また、こうした攻撃に対応するため、EC-CUBEでは修正版がアップデートされています。最新版を使わないと、こうした攻撃の標的になるでしょう。

EC-CUBEを適切にインストールできていなかったため

EC-CUBEを適切にインストールできていないECサイトは、攻撃されるリスクが高いです。その理由は、EC-CUBEは拡張性やカスタマイズ性が高い分、サーバーの準備が必要になるからです。

適切に設定できていないと、意図しないファイルを公開してしまい、改ざんされるリスクがあります。改ざんのリスクを抑えるには、制作会社やノウハウのある人に設定を行ってもらうといいでしょう。

EC-CUBEで必須となるセキュリティ対策

EC-CUBEでは、以下のようなセキュリティ対策が必須です。

• 定期的なバージョンのアップデート
• 適切なインストール
• ECサイトの脆弱性診断
• ファイアウォールの導入
• 改ざん検知の実施

適切なセキュリティ対策を行うことで、ECサイトはもちろん、企業の信頼にもつながります。反対に、ずさんなセキュリティ対策を行っていると、ECサイトの信用度が下がり、企業の印象も悪くなってしまいます。

どんなセキュリティ対策を行えばいいのかわからない方は、これらを優先的に実行しましょう。ここからは、それぞれのセキュリティ対策について解説します。

定期的なバージョンのアップデート

EC-CUBEでECサイトを構築する場合は、定期的に最新のバージョンにアップデートするように心がけましょう。

サイバー攻撃の手法は日々多様化しており、EC-CUBEでは攻撃を受けないよう定期的に修正版をアップしています。バージョンアップしていないと回避できるサイバー攻撃の被害に遭ってしまうでしょう。

最新バージョンにアップデートすることはセキュリティ対策になるだけではありません。更新内容によっては、新しい機能を利用できることもあります。常に最新のバージョンにしておくためにも、新しいバージョンが配信されているかどうか定期的にチェックしましょう。

EC-CUBEの最新バージョンについては、公式サイトの「EC-CUBE2・3・4系ダウンロード」からご確認ください。

適切なインストール

EC-CUBEを利用する場合は、適切にインストールすることを心がけましょう。OSSであるEC-CUBEでECサイトを構築するには、サーバーの準備や設定を自社で行わなくてはなりません。正しくインストールできていないと、脆弱性を狙われてしまいます。

EC-CUBEでは、インストールに関するサポートや窓口があります。EC-CUBEのインストール方法については、「EC-CUBEインストールについて」をご確認ください。

ECサイトの脆弱性診断

構築したECサイトについては、脆弱性診断を実施しましょう。脆弱性診断とは、Webサイト上に情報漏えいやデータ改ざんのリスクが潜んでいないかどうかを洗い出す診断方法のことです。攻撃者の視点に立って疑似攻撃を行うことで、リスクを軽減することができます。

ECサイトで脆弱性診断を行う場合は、以下についてチェックしなければなりません。

• Webアプリケーション
• OS・ミドルウェア
• ネットワーク

脆弱性診断サービスは、さまざまな企業が提供しています。ECサイト構築を制作会社に依頼する場合は、あわせて脆弱性診断もできるかどうかチェックしてみるといいでしょう。

ファイアウォールの導入

ECサイトを構築する場合は、必ずファイアウォールを導入しましょう。ファイアウォールとは、社内ネットワークへの不正アクセスを防ぐためのソフトウェアです。

今ではWebに接続して社内ネットワークにアクセスするようになりました。便利な半面、外部からサイバー攻撃を受けるリスクがあるのも事実です。ファイアウォールを設置することで、内部データへの攻撃や改ざん、盗聴などを防止できます。

ファイアウォールは、不正アクセスを検知すると管理者に通報します。既存の社内ネットワークに対応できるサービスもあるため、ぜひ検討してみましょう。テクノデジタルでは、ファイアウォールの導入をサポートいたします。

お問い合わせはこちら

改ざん検知の実施

EC-CUBEを利用する場合は、改ざん検知の実施をおすすめします。過去の事例では、決済画面が改ざんされ、その結果クレジットカード情報が流出しました。

改ざんが行われた段階で感知できれば、被害を最小限にとどめることができるでしょう。うまくいけば、被害が出る前に対処することも可能です。

ただし、改ざん検知を実施するには、ある程度運用に関する知識やノウハウが必要なケースがあります。わからない場合は、代行会社に相談するのもいいでしょう。

代表的な攻撃手法

ECサイトにおける代表的な攻撃手法として、以下の方法があります。

• クロスサイトスクリプティング
• フォームジャッキング
• ディレクトリトラバーサル

上記の攻撃手法を知っておくことで、どのような対策を取ればいいのかがわかるでしょう。ここからは、それぞれの攻撃手法について解説します。

クロスサイトスクリプティング

クロスサイトスクリプティングとは、Webサイトの入力フォームに悪質なプログラムを仕込んで個人情報を盗む攻撃手法です。

よくある流れは、以下の通りです。

1. 悪意のある第三者が罠ページを作成する
2. ユーザーが罠ページを閲覧して脆弱性のあるECサイトへのリンクをクリックする
3. ECサイトへ遷移しスクリプトが受け継がれる
4. スクリプトが実行される
5. 個人情報が定期的に盗まれる

ECサイトの脆弱性のうち、件数の多い攻撃手法がクロスサイトスクリプティングです。個人情報を盗まれると、クレジットカードやユーザーの名前、住所などが流出してしまいます。

被害の一例として、個人情報が流出すると、DMやSMSが送られるケースがあります。Amazonなどのログイン画面を模したページへと誘導し、入力したIDとパスワードが盗まれて悪用されるため、大変危険です。ほかにも、クレジットカードが悪用されるケースもあるため、注意が必要です。

フォームジャッキング

フォームジャッキングとは、ECサイトなどのWebページを改ざんしてクレジットカード情報を窃盗する攻撃手法です。多くの場合、入力フォームに罠となるコードを仕掛けます。

代表的なフォームジャッキングの例として、以下2つの攻撃方法があります。

• 偽サイトに誘導する方法
• 入力フォームに不正なコードを仕掛ける方法

偽サイトに誘導する場合、偽の決済ページを作成し、ユーザーに入力させることで情報を盗みます。偽の決済ページで手続きを行うとエラーメッセージが表示され、再度正しいサイトに戻します。その後通常の手続きで決済が完了され商品が届くため、情報を盗まれたことに気が付けません。

入力フォームに不正なコードを仕掛ける場合は、決済後に不正な処理が作動します。その後情報を盗まれ、悪用されることが多いです。

ディレクトリトラバーサル

ディレクトリトラバーサルとは、管理者権限でしかアクセスできないページにアクセスできるように仕掛ける攻撃方法です。

社外秘のファイルへアクセスされると、個人情報を盗むことができるようになってしまいます。さらにはファイルの書き換えや削除も行えるため、最悪の場合、自社サイトごと乗っ取られる可能性もあります。ディレクトリトラバーサルを防止するためにも、セキュリティ対策を行いましょう。

まとめ

EC-CUBEはOSSであることから、セキュリティの脆弱性を狙われやすいです。特にECサイトではクレジットカードの不正利用の被害が多く、場合によっては運営者にも被害がおよびます。

セキュリティを高めるには、定期的に最新バージョンにアップデートすることが大切です。また構築の際は、忘れずにファイアウォールを導入しましょう。これからEC-CUBEを利用する方は、ぜひ本記事でご紹介したポイントを取り入れてみてください。

EC-CUBEをはじめとしたECサイトの脆弱性について疑問や不安がある方は、テクノデジタルにご相談ください。弊社ではECサイトの構築や運営サポートを行っています。セキュリティチェックやセキュリティ対策についても対応いたしますので、気になる方はぜひお気軽にご連絡ください。