EC-CUBEセキュリティ対策

EC-CUBE

■必ずご確認いただき、対策をお願いたします。

最近、ECサイトにおいて、決済画面を改ざんされてクレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が日本国内で増加しています。

EC-CUBEでは特に2系をご利用の店舗で被害が複数報告されておりますので、該当バージョンをお使いの店舗様は以下をお読みいただき、必ず対策を行っていただきますようお願いいたします。

■EC-CUBEで発生している事象と対策に関して現在、特にEC-CUBE 2系で発生している事象として、以下のセキュリティ対策が十分に行われていない場合においてEC-CUBEのファイルを改ざんされ、攻撃を受ける可能性がございます。・正しいインストール環境設定・EC-CUBEの既知の脆弱性修正対策・利用しているサーバーのセキュリティ対策・ECサイトの管理画面のセキュリティ対策・同じ環境に設置されている他のCMSのセキュリティ対策以下、具体的なチェック項目と対策方法をお読みになり必要な対策をお願いいたします。
 
ご自身でチェックや対策が行えない場合や、本メールの内容がご理解いただけない場合は、周辺の詳しい方や、サイト構築を担当された方にご相談ください。
周辺にご相談いただける方がいらっしゃらない場合は、全国のEC-CUBEインテグレートパートナーへもご相談いただけます。
本件に関しましては、セキュリティ対策の専門企業である、SHIFT SECURITY(無償診断)
 
・EGセキュアソリューションズ(無償診断)の簡易診断も提供を予定しております。
 
■対策前の現状確認チェックまず、既に「改ざん」が行われていないかをご確認ください。
 
下記のような「改ざん」の疑いが見つかった場合は、直ちにサイトを停止し、詳しい方にご相談ください。

 
  • 購入確認画面等に覚えのないJavaScriptが設置せれていないか
  • 購入フローのクレジットカード入力画面が不正なURLになっていないか
■具体的なチェック事項と対策方法1. EC-CUBEの公開されるべきでないディレクトリが公開されてしまっていないか
EC-CUBEの/data ディレクトリや/install といったディレクトリが運用環境で公開されている場合、そこから管理画面へのアクセス情報やバックアップファイル、アップロードしたCSVファイルなどが流出する恐れがあります。インストール完了後の/install の削除、/data ディレクトリへのアクセス制限を行なってください。
 
参考)https://nob-log.info/2013/05/25/wrong-installation-eccube-is-dangerous//data
 
ディレクトリのアクセス拒否設定については、設定変更方法資料「4. Dataディレクトリへのアクセスを拒否する方法」をご確認ください。
 
2. 過去EC-CUBE より発表された脆弱性が修正されているか過去の脆弱性を突かれてサイト改ざん等、攻撃されるケースが発生しております。
お使いのEC-CUBE のバージョンを管理画面よりご確認の上、過去発表された脆弱性のご確認及び、確実に修正されているかをご確認ください。
 
https://www.ec-cube.net/info/weakness/
 
3. 管理画面のURL が/admin/ など推測されやすいURL になっていないか管理画面のURLを変更せず/admin/ のままで運用していた場合、攻撃者が管理画面にアクセスしやすい状況になっておりますので、早急に変更をお願いします。EC-CUBE2.11以降のバージョンでは、管理画面のURLがインストール時やインストール後の管理画面から変更が可能です。管理画面のURL を変更する方法は、設定変更方法資料「2. 管理画面のURL を変更する方法」をご確認ください。
 
4. 管理画面へアクセス制限が行われているか管理画面のログイン画面に外部から容易にアクセスできる状態ですと、パスワードの総当たり攻撃等で、管理画面にログインされる可能性がございます。特に、管理画面URL が/admin/で外部からのアクセスもできる状態ですと、攻撃されやすい状態でございますので、早急に管理画面に部外者がアクセスできないよう対策をお願いします。
 
・IP 制限をかける(外部からは全くアクセスできない状態にする)
・Basic 認証をかける(管理画面にパスワードをかける)

 
 
管理画面へのアクセス制限については、設定変更方法資料「3. 管理画面へのアクセス制限」をご確認ください。
 
5. 御利用のサーバーや利用しているCMS 等のセキュリティが担保されているか御利用のサーバーのOS やミドルウェアの脆弱性が対応されているか、サーバー管理者にご確認ください。WordPressやDrupalなどのCMSやその他のファイル操作やデータベースへの接続を行うアプリケーションをインストールしている場合は、各アプリケーションやプラグインの脆弱性が対応されていることもあわせてご確認ください。

 

引用元:EC-CUBEより

■ご自身で対策が難しい場合
対策がご自身ではできない場合は、弊社へご相談ください。

お問い合わせフォーム

EC-CUBE利用店舗セキュリティチェックリスト
1.利用環境チェックリスト
 
a.利用しているEC-CUBEのバージョンはわかる  はい/いいえ
 
b.管理画面のURLは安易に推測されないよう変更している  はい/いいえ
 
c.管理画面へのIP制限をおこなっている  はい/いいえ
 
d.管理画面へのアクセスには常にSSLを利用している  はい/いいえ
 
e./data へのアクセスを拒否している  はい/いいえ
 
f./install, install.phpは削除している  はい/いいえ
 
g.SSL Labs(https://www.ssllabs.com/ssltest/index.html)にて、SSLのランクがB以上だと表示される  はい/いいえ
 
h.EC-CUBEの脆弱性リストの対応はおこなっている  はい/いいえ
 
i.利用している他のアプリケーションを含め運用担当者や相談できる委託先がある  はい/いいえ
 
一つでも「いいえ」や「実態がわからないもの」がある場合は、前述の無料診断を受けていただくか、既存のご相談先もしくは弊社に御相談ください。
 
2.サイト改ざんチェックリスト
 
a.購入確認画面、カート、購入完了画面に覚えのないJavaScriptがある  はい/いいえ
 
b.リンク型決済を利用している場合に、リンク先のURLが契約している決済代行サービスのURLと違っている  はい/いいえ
 
c.サーバーに覚えのないページやファイルがある  はい/いいえ
 
一つでも、「はい」や「実態がわからないもの」がある場合は、一度サイトを停止して、無料診断を受けていただくか、既存のご相談先もしくは弊社に御相談ください。
 
EC-CUBEのサーバー引越し(移行・移設)やバージョンアップなどお気軽にお問い合わせください。
 
 
 
 

  • コメント ( 0 )

  • トラックバックは利用できません。

  1. この記事へのコメントはありません。

関連記事一覧