まだEC-CUBE2系を使い続けていませんか？

まだ古いEC-CUBE2系を使い続けていませんか？

2025年以降に必ず押さえたい5つの注意点
「昔から動いているから」「今のところ大きなトラブルはないから」
――そんな理由で、今もEC-CUBE2系のまま運用を続けているショップは少なくありません。

しかし、2025年時点ではEC-CUBE2系を使い続けることにはセキュリティ・法律対応・運用コストなど、見過ごせないリスクが増えています。

この記事では、**EC-CUBE2系をお使いの方向けに「今すぐ確認してほしい5つのポイント」**をわかりやすく解説します。

1. 一番のリスクは「セキュリティ」と「情報漏えい」

1-1. 2系でも脆弱性は定期的に見つかっている

EC-CUBEは長く使われているソフトのため、2系を含め、これまでに何度も脆弱性（セキュリティホール）が報告されています。
たとえば、2023年にはEC-CUBE2系（2.11〜2.17系）にクロスサイトスクリプティング（XSS）の脆弱性が報告されており、管理画面にログインできる攻撃者によって、任意のスクリプトを実行される可能性が指摘されています。shiftsecurity.jp+2Japan Vulnerability Notes+2

もし攻撃を受けると…

• 顧客情報（氏名・住所・メールアドレスなど）の流出
• 管理画面の乗っ取り
• 不正ページの設置・フィッシングサイト化
  などの被害につながる恐れがあります。

1-2. 古いバージョンをそのまま使うほど危険

とくに注意が必要なのは、2.11系・2.13系などの古い2系を使い続けているケースです。
2.11系はすでにサポートが終了しており、新しい脆弱性が見つかっても修正プログラムが提供されません。

「攻撃されたら対応する」のではなく
「攻撃されにくい状態にしておく」ことが必須です。

2. サーバーやPHPのサポート切れにも要注意

2-1. PHP 5系・古いLinuxは完全に「賞味期限切れ」

EC-CUBE2系の多くは、PHP5系や古いPHP7系のバージョンで動いています。
しかし、これらはすでに公式サポートが終了しており、今後新しい脆弱性が見つかっても修正されません。

• 古いPHPを使い続ける
  → サーバー自体が攻撃対象になるリスク
• レンタルサーバー側がPHPを強制的に新バージョンへ切り替え
  → 突然サイトがエラーで真っ白になるリスク

2-2. どうしても2系を続けるなら「2.25」＋対応環境を

2025年現在、EC-CUBE2系はPHP7・PHP8に対応した2.25系がリリースされており、性能改善や長期運用を意識した作りになっています。

もし「すぐに4系への移行までは難しい…」という場合でも、
最低限 2.25系＋サポートされているPHP環境へ移行することを強くおすすめします。

3. 決済まわり：3Dセキュア2.0や各社ルールの波に飲まれないために

3-1. 世界標準はすでに「3Dセキュア2.0」

クレジットカード決済では、不正利用対策として**3Dセキュア2.0（EMV 3-D Secure）**が標準になりつつあります。
EC-CUBEの最新版（4.3.1）では、公式決済サービス「EC-CUBE Payment Plus」が標準搭載され、3Dセキュア2.0にも対応しています。ec-cube.net+1

一方、EC-CUBE2系＋古い決済モジュールだと、

• 3Dセキュア2.0に非対応
• 決済代行会社から「モジュール更新」や「リプレイス」を求められる
• 将来的に利用停止のリスク

といった問題につながる可能性があります。

3-2. 「決済まわりの見直し＝バージョンアップのタイミング」

• 決済代行会社からモジュールの更新案内が来ている
• 不正利用が増えて、カード会社からの指摘が増えている

こういったタイミングは、EC-CUBE2系から4系への移行を検討する絶好のチャンスです。

4. プラグイン・独自カスタマイズの「ブラックボックス化」

4-1. 作った会社や担当者がいない…はよくある話

EC-CUBE2系のサイトでは、

• 当時の制作会社がすでに廃業・連絡がつかない
• 社内で構築した担当者が退職してしまった
• ソースコードや設計書が残っていない

といった「ブラックボックス化」がよく起きています。

4-2. その状態でのトラブルは「復旧コスト」が跳ね上がる

ブラックボックス状態で、

• サーバー障害
• PHPの自動更新でエラー
• プラグインの不具合

が発生すると、原因調査だけで多くの工数がかかり、復旧費用が高額になりがちです。

「壊れてから慌てて相談」ではなく
**「壊れる前に状態を把握して、移行計画を立てる」**ことが、結果的に安く・安全に済みます。

5. いますぐできる「自己診断チェックリスト」

EC-CUBE2系をお使いであれば、まずは次の項目をチェックしてみてください。

5-1. バージョン・環境チェック

• EC-CUBEのバージョンが 2.13.5以前のまま
• PHPのバージョンが 5系 or 7.0/7.1
• サーバー会社から「古いPHP終了のお知らせ」が来ているが放置している

5-2. セキュリティ・運用チェック

• 管理画面URLが「/admin」のままになっている
• 管理画面へのアクセス制限（IP制限やBASIC認証）がない
• SSL（https）が未導入、または古い証明書のまま
• セキュリティ診断や脆弱性チェックを ここ2〜3年一度も受けていない

5-3. 決済・拡張機能のチェック

• 利用中の決済モジュールがいつ導入したものか不明
• 決済代行会社から「モジュール更新」や「セキュリティ強化」の案内が来ている
• プラグインや独自カスタマイズの内容がわかる人が社内にいない

1つでも当てはまる場合は、「そのうち」ではなく「今」動き始めた方が安全な状態と言えます。

6. 対応パターン：すぐに4系？ まずは2.25？ それとも…

最後に、よくある対応パターンを簡単に整理します。

6-1. できるだけ長く今の仕組みを延命したい場合

• EC-CUBE2系は継続利用
• ただし、最新版2.25系＋サポートされているPHP環境へアップデート

※「今すぐ4系リニューアルは難しいが、しばらくは今の仕組みを使いたい」場合の現実的な中間案です。

6-2. 4系＋最新決済へのバージョンアップを行う場合

• EC-CUBE4.3系で新規構築（デザインも含めて刷新）
• 3Dセキュア2.0対応の公式決済や最新プラグインを利用
• 将来の機能追加やマーケティング施策にも対応しやすくなるalledge.jp+1

2系→4系は「単なるバージョンアップ」ではなく、
ほぼ新規サイトリニューアルに近いプロジェクトになります。
その分、セキュリティ・機能性・運用効率のすべてを一気に見直せるチャンスでもあります。

まとめ：EC-CUBE2系サイトは「放置しないこと」が最大の防御

EC-CUBE2系は、長く日本のECサイトを支えてきた実績あるシステムです。
しかし、2025年以降は

• セキュリティリスクの高まり
• サーバー環境の寿命
• 決済・法律・マーケティング要件の変化

など、「動いているからそのまま」は非常に危険な状態になりつつあります。

「うちは大丈夫かな？」と不安になったら。

ぜひ弊社の無料見積りからご連絡ください。実績豊富なエンジニアが対応させていただきます。
EC-CUBEのカスタマイズやバージョンアップはプロにお任せください。Amazon Pay標準搭載の最新版EC-CUBEにも対応可能です。
私たちは、御社のビジネスモデルに合わせた最適なEC-CUBEバージョンアップをご提案します。
小規模な改修から大規模なシステム開発まで柔軟に対応可能です。