経済産業省からEC-CUBEの脆弱性に対して注意喚起があった
昨年2019年12月20日に経済産業省よりEC-CUBEの脆弱性に対して注意喚起がありました。
株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について(注意喚起) (METI/経済産業省)
弊社の取引先様からもこの件についてご相談を頂きましたし、取引がないECサイト様からも問い合わせがありました。
経済産業省が注意喚起したことで、大手企業様は社長管轄プロジェクトとして動いていました。
実際に、その大手企業様のサイトは問題なかったものの、緊急対応として弊社も色々と調査しご報告させて頂きました。
また、弊社の下記ブログ記事にも多数のアクセスがありました。
EC-CUBEの脆弱性対応
以前からこの問題は報告されておりましたがこれほどの反響はなく、経済産業省が注意喚起するだけでかなり違うものだなと実感しました。
以前からクレジットカード流出被害については注意喚起があった
上述の通り、以前から株式会社イーシーキューブさんからEC-CUBEに関するクレジットカード流出被害の注意喚起はありました。
【重要】サイト改ざんによるクレジットカード流出被害が増加しています(2019/05/09)
にも関わらず、2019年年末に経済産業省から注意喚起がされたのか?
おそらく、以前から注意喚起されていたにも関わらず、対策を行っておらず、さらなる被害が続いたのだと思います。
それを見かねて、経済産業省が動いたのではないでしょうか。
EC-CUBEはそんなに脆弱性があるシステムなのか?
今回の注意喚起によって、EC-CUBEは脆弱性があるシステムと判断する方も少なからずいます。
弊社はEC-CUBEを10年取り扱っていますが、特段EC-CUBEに脆弱性があるとは思えませんし、また弊社のお客様のサイトから情報が漏洩するような問題は発生しておりません。
EC-CUBEに限らずWEBシステムには少なからず脆弱性はあることをご理解頂きたいです。
だからこそ、サイト制作時には脆弱がないようにサイトを構築する必要がありますし、サイトができてからもセキュリティパッチを適用するなど継続的な脆弱性対応が必要です。
EC-CUBEでの被害が続出した原因
私なりにEC-CUBEでの漏洩被害が続出した原因を推測してみました。
dataフォルダを閲覧できる位置に配置している
おそらくこれが一番の原因だと思います。
dataフォルダにはプログラムや設定ファイルなど重要なファイルが格納されているのですが、dataフォルダを誰もが閲覧できる位置に配置した状態で構築してしまっているECサイトがあります。
これは、構築した制作会社のEC-CUBEに対する知見がない為です。
制作会社の中には、デザインが得意だけどシステムには弱い会社さんもあります。
また、システムは得意だけどEC-CUBEの実績が少なく、EC-CUBEに対する知見がない会社さんも一時期はいらっしゃいました。
そういった制作会社に依頼することで、結果的にセキュリティに弱いECサイトができあがってしまったと思われます。
セキュリティパッチを適用していない
セキュリティホール(脆弱性)が見つかると適宜イーシーキューブさんからはセキュリティパッチが公開されます。
以下は、過去に公開されたセキュリティパッチです。
脆弱性リスト | ECサイト構築・リニューアルは「ECオープンプラットフォームEC-CUBE」
せっかくセキュリティパッチが公開されているにも関わらず、パッチを適用していないサイトが多いようです。
EC-CUBEは無料で利用できるECシステムです。
その為、安価にECサイトを構築したい企業が利用することが多いです。
で、安くECサイトを構築したい企業は、ECサイトのメンテナンスにお金をかけません。
本来であれば制作会社とシステム保守契約を締結して、サイトをメンテナスしていくのが当然なのですが、契約料が惜しい為に保守サービスを受けていない場合が多いです。
そのようなサイトはセキュリティパッチを適用することなく、セキュリティホール(脆弱性)がある状態でEC-CUBEを使い続けることになります。
EC-CUBE管理画面へのアクセスがすぐにできる
EC-CUBEの管理画面の標準URLは単純ですので、標準のままだと誰でもログイン画面にアクセスできます。
ログイン画面にアクセスできれば、容易にログインを許してしまうことになります。
URLを変更することで解決するかと言うと、URLを変えたところでハッカーの手に掛かればURLは探られます。
ですので、EC-CUBE管理画面にIPアドレス制限を設定することをお勧め致します。
困難であればベーシック認証ですが、これも破られる可能性は大きいです。
ログインを5回失敗したらアカウントを無効化するカスタマイズも可能ですので、そういった機能を実装しては如何でしょうか。
正直なところ、上記3点が大きい理由だと思います。
(もちろん、小さい理由も推測すればいくらでもありますが。)
EC-CUBEを使う場合、どうすればいいか?
EC-CUBEはとても素晴らしいシステムです。
しかも無料で利用できます。
これからもEC-CUBEで素敵なサイトが作られるでしょうし、EC-CUBEが日本のECを牽引するシステムの一つであることには変わりありません。
では、EC-CUBEを利用する場合、どのようなことに注意すればいいのか?
今回の問題はEC-CUBEにも問題はあったにしろ、むしろEC-CUBEを利用する側の問題の方が大きいように感じます。
以下の点を注意しながらEC-CUBEを使えばいいのではないでしょうか。
- EC-CUBEに詳しい制作会社へ制作を依頼する
- EC-CUBEに詳しい制作会社とシステム保守契約を締結する
- 必要なセキュリティ対策を行う
- セキュリティパッチを適用する
- 予算があれば、定期的に外部のセキュリティ診断サービスを受ける
なお、EC-CUBEの新しいバージョンを利用すれば安心という訳ではありません。
新しいEC-CUBEには未知の脆弱性が隠れている可能性もあります。
また、新しいEC-CUBEはフレームワークを使用しており、フレームワークに脆弱性がある可能性があります。
新旧問わず日頃からセキュリティを意識しながらサイトを安全に運営することが大切です。
以上のように、今回の問題はEC-CUBEを使う側の原因が大きいというのが私の意見です。
残念ながら、誰もが安全に使えるWEBシステムは存在しません。
WEBシステムを利用する以上、システムに詳しい社員を雇用したり、制作会社と継続的な契約をすることが必須になります。
それができないのであれば、ASPサービスを利用されることをお勧め致します。
サンクユーのEC-CUBE脆弱性診断サービス
サンクユーではEC-CUBEの脆弱性診断サービスを提供しております。
定期的に脆弱性診断を受け、都度脆弱性に対応することで安全なECサイト運営を行うことができます。
低価格でご提供しておりますので、是非ご検討くださいませ。
EC-CUBE脆弱性診断サービス
投稿者プロフィール
- CEO
- 株式会社サンクユー 代表取締役CEO。
基幹システムとECをつなぎ、受発注業務の最適化を支援する専門家。
関西大学卒業後、東証プライム上場のゼネコンにて人事総務を経験。
その後システムベンダーへ転職し、IBM AS/400環境における金融・物流・販売管理・経理・人事など、企業の基幹業務を支えるシステム開発に従事する。
プログラマからプロジェクトマネージャーまでを経験し、台湾・台北駐在として銀行システム構築プロジェクトにも参画。
この経験を通じて、「システムの質は要件定義の質に比例する」という思想を確立。
業務理解を起点としたシステム設計を強みとする。
その後、クレジット決済代行会社にて、決済システムの再構築や銀行連携、ECサイト構築を担当。
あわせて組織改革にも携わり、20名から60名規模への組織拡大を実現(退任時:常務取締役)。
2008年に株式会社サンクユーを創業、2010年に法人化。
現在は、基幹システムとECの両領域に精通した知見を活かし、BtoB企業における受発注業務のデジタル化・効率化を支援。
特に、FAX・電話・メールなどアナログ業務のEC化や、基幹システムとの連携を前提とした業務設計を得意とする。
単なるECサイト構築にとどまらず、業務フローの整理・要件定義・システム設計まで一貫して関与し、「現場で使われる仕組み」を実現することを重視している。
NTTレゾナント「goo Search Solution」にてEC関連コラムを執筆。
ECマーケティングレポート | goo Search Solution
■趣味・関心領域
BMW / WRC / ロードバイク / RIZIN / UFC / 大相撲
David Bowie / blur / MUSE / The Rolling Stones / XTC
機動戦士ガンダム(富野由悠季)
ベルセルク / 頭文字D / 進撃の巨人 / ジョジョの奇妙な冒険 / あしたのジョー
Mission: Impossible / Memento / ワイルド・スピード / ソナチネ
LOST / Game of Thrones / FRINGE / The Mentalist
上岡龍太郎 / ダウンタウン
