経済産業省は昨年12月20日、イーシーキューブの通販サイト構築パッケージ「EC―CUBE」の一部バージョンに、クレジットカード番号などの情報漏えいの原因となるぜい弱性が存在するとして注意喚起を行った。

　同省によれば、昨年までに通販サイトを運営する企業が公表した漏えい事案において、約14万件のクレジットカード番号等が漏えいしていることが確認されていることから、EC―CUBEの利用状況について再度検証を行い、利用を継続する場合には、的確な安全対策を行うよう呼びかけている。

　これを受けてイーシーキューブは23日、「EC―CUBEの特に2系を利用している店舗で、インストール時の不備や、過去発表されたぜい弱性対応がなされていないなどを突かれて攻撃されるケースが多く発生している」として、該当するバージョンを利用している店舗は対策するように注意喚起した。

　同社によれば、「正しいインストール環境設定」「EC―CUBEの既知のぜい弱性修正対策」「利用しているサーバーのセキュリティー対策」「通販サイトの管理画面のセキュリティー対策」「同じ環境に設置されている他のCMS(コンテンツ管理システム)のセキュリティー対策」が行われていない場合、EC―CUBEのファイルを改ざんされ、攻撃を受ける可能性があるという。

　該当する通販サイトは、最初に改ざんされていないかを確認する。「購入確認画面などに覚えのないジャバスクリプトが設置されている」「購入フローのクレジットカード入力画面が不正なURLになっている」場合は改ざんの恐れがあることから、すぐにサイトを停止し、専門家に相談する必要がある。

　具体的なチェック事項と対策方法としては、まず「EC―CUBEの公開されるべきでないディレクトリーが公開されてしまっていないか」に注意する。「/dataディレクトリー」や「/installディレクトリー」が運用環境で公開されている場合、そこから管理画面へのアクセス情報やバックアップファイル、アップロードしたCSVファイルなどが流出する恐れがある。そのため、インストール完了後の「/install」削除や「/dataディレクトリー」へのアクセス制限を行う。

　次に「過去に発表されたぜい弱性が修正されているか」を確認。さらに管理画面のURLが初期設定の「/admin/」など推測されやすいものになっている場合、攻撃者が管理画面にアクセスしやすい状況になっていることから、早急に変更しなければいけない。また管理画面のログイン画面に外部から容易にアクセスできると、パスワードの総当り攻撃などで不正ログインされる懸念があることから、部外者がアクセスできないよう、IPアドレスで制限をかけたり、管理画面そのものにパスワードをかけたりする必要がある。

　EC―CUBE関連以外では、利用しているサーバーのOSやミドルウエアのぜい弱性が対応されているかどうか、サーバー管理者への確認が求められる。さらに、「WordPress」などのCMSやデータベースへの接続を行うアプリケーションなどをインストールしている場合は、アプリケーションやプラグインのぜい弱性対応も必要となる。

　同社ではセキュリティー企業と連携し、EC―CUBEに関する無料のセキュリティー診断(https://www.eg-secure.co.jp/service/eccube_securitycheck/、https://www.shiftsecurity.jp/eccube.html)を提供しており、自身でのチェックが難しい場合は利用するよう呼びかけている。

　近年「カード情報入力フォームを改ざんして、ユーザーが入力したカード情報を外部のサーバーに送信する」手口や、「デザイン等をコピーした偽のカード決済画面を用意し、注文ページから遷移させる」手口を利用したカード情報の窃取が急増している。いずれも、通販サイトに存在するぜい弱性を突いて第三者が改ざんしたもので、カード情報非保持化に対応していても盗まれてしまう。

　EGセキュアソリューションズの徳丸浩社長は「実際に、昨年カード情報流出事故を起こしたサイトの大半がEC―CUBEの2系で作られており、攻撃者からみるとセキュリティーが甘いサイトが多いので簡単に狙いやすい」と警告する。今後もEC―CUBEの2系を利用した通販サイトが狙われる状況は続くとみられることから、当該サイトはセキュリティーに問題がないかどうかをチェックした上で、セキュリティー対策や最新版への移行など、早急に対策する必要がある。