EC-CUBEカード情報編集を利用したクレジットマスターアタックが発生
以前、GMO-PGを導入したEC-CUBEで、カード情報変更機能を悪用するクレジットマスターアタック(クレマアタック)が発生したことをお伝えしました。
GMO-PGを導入した別のECサイト様から、年末年始に大量のクレマアタック被害を受けたとご相談をいただきました。
対策は万全?
このサイトでは、以下の対策を行っていました。
- reCAPTCHA導入済み
- 3Dセキュア導入済み
- GMO-PGの大量遮断サービス加入済み
- サーバーにWAFを導入済み
現時点ではほぼ万全ではないかと思われる環境です。
原因
サンクユーで調査したところ、以下が確認できました。
- 購入回数0件
- 住所1が”vuodug” など英字のみ実在しない住所
- アクセスのIPは全て異なる
- アクセスのIPは全て国内
- カード情報編集にはreCAPTCHAが導入されていなかった
多くの決済代行会社のプラグインは、購入回数がゼロの場合にマイページにカード情報編集画面は表示されません。
しかし、GMO-PGのプラグインは購入回数がゼロでもマイページにカード情報編集画面が表示される仕様のようです。
かつ、カード情報編集画面にreCAPTCHAが未導入だったことも大きな原因かと思います。
対策
原因が判明しましたので、以下の対策を実施いたしました。
- 購入回数が0件の会員には「カード情報編集」にアクセスさせないよう制御
- カード情報編集にreCAPTCHAを導入
- GMO-PG決済プラグインの最新版が公開されていた為、最新版にアップデート
これらの対策により、不正リクエストは即日で沈静化。
以後、クレマアタックの兆候は確認されていませんが、引き続き監視の必要があります。
セキュリティ対策は「やっているつもり」では不十分です。
設定の抜け漏れや仕様差によって、攻撃の入り口が残っているケースが多く見られます。
サンクユーにご相談ください|EC-CUBEパートナーとしての専門対応
サンクユーは、EC-CUBE公式パートナーとして、 クレマアタックを含む不正アクセス・決済関連トラブルの調査と対策実績を多数有しています。
・DGFT、GMO-PG、ソニーペイメント、SBPSなど主要決済代行会社との連携実績あり
・不正アクセス検知、ログ解析、プラグイン改修をワンストップで対応
・EC-CUBE4系全バージョンに精通
「今の対策で十分か確認したい」「どの部分にreCAPTCHAを追加すべきかわからない」 という方は、ぜひ一度ご相談ください。
攻撃が起きてからでは遅い――“予防と検証のプロセス”を、今のうちに整えておきましょう。
投稿者プロフィール
- CEO
- 関西大学卒業後、東証プライム上場企業ゼネコンにて人事総務業務に従事。
幼少よりモノ作りが好きだったこともあり、「モノを作る仕事がしたい」という思いからシステムベンダーへ転職。
システムベンダーでは、IBMオフコンAS400で金融、物流、販売管理、経理、人事総務などのシステムを開発。
台北に駐在し遠東國際商業銀行のシステム構築プロジェクトへの参画など貴重な経験を積む。
10年間で、プログラマ、SE、プロジェクトリーダー、プロジェクトマネージャーを務め、「システムの質は要件定義の質に比例する」と学ぶ。
その後、クレジット決済代行会社にヘッドハンティングされる。
決済システムの再構築、国内外の銀行システムとの接続、クライアントの会社サイト制作・ECサイト構築を行う。
一方、組織改革を任され、20名から60名へ会社規模を拡大させる。(退任時役職:常務取締役)
2008年クリエイティブチーム・サンクユーを立ち上げ、2010年に法人化し株式会社サンクユーを設立。
クライアントの業界、取扱商材、ターゲット顧客を理解・分析することで、結果が出るWEBサイトを制作することを得意とする。
また、ECサイト構築・運営への造詣も深く、NTTレゾナント株式会社が運営するgoo Search Solutionでコラムを執筆。
ECマーケティングレポート | goo Search Solution
■趣味・好きなもの
BMW / WRC / ロードバイク / RIZIN / Bellator / UFC
David Bowie / blur / MUSE / TheRollingStones / XTC
機動戦士ガンダム(ファースト) / 富野由悠季
ベルセルク / 頭文字D / 進撃の巨人 / ジョジョの奇妙な冒険 / あしたのジョー
Mission: Impossible / Memento / ワイルド・スピード / ソナチネ
LOST / Game of Thrones / FRINGE / The Mentalist
上岡龍太郎 / ダウンタウン
