EC-CUBEカード情報編集を狙ったクレジットマスターアタックが発生｜あなたのサイトは本当に安全ですか？

EC-CUBEカード情報編集を利用したクレジットマスターアタックが発生

以前、GMO-PGを導入したEC-CUBEで、カード情報変更機能を悪用するクレジットマスターアタック（クレマアタック）が発生したことをお伝えしました。

EC-CUBEのカード情報変更機能を悪用するクレジットマスターが発生

EC-CUBEのカード情報変更機能を悪用して不正入手したクレジットカード情報の有効性チェックを行っていた疑いが確認されました。あまり詳細は記載できませんが、他サイトでも起こり得る問題ですので情報開示したいと思います。GMO-PGから不正...

www.thank-u.net

2022.10.18

GMO-PGを導入した別のECサイト様から、年末年始に大量のクレマアタック被害を受けたとご相談をいただきました。

対策は万全？

このサイトでは、以下の対策を行っていました。

• reCAPTCHA導入済み
• 3Dセキュア導入済み
• GMO-PGの大量遮断サービス加入済み
• サーバーにWAFを導入済み

現時点ではほぼ万全ではないかと思われる環境です。

原因

サンクユーで調査したところ、以下が確認できました。

• 購入回数0件
• 住所1が”vuodug” など英字のみ実在しない住所
• アクセスのIPは全て異なる
• アクセスのIPは全て国内
• カード情報編集にはreCAPTCHAが導入されていなかった

多くの決済代行会社のプラグインは、購入回数がゼロの場合にマイページにカード情報編集画面は表示されません。
しかし、GMO-PGのプラグインは購入回数がゼロでもマイページにカード情報編集画面が表示される仕様のようです。
かつ、カード情報編集画面にreCAPTCHAが未導入だったことも大きな原因かと思います。

対策

原因が判明しましたので、以下の対策を実施いたしました。

• 購入回数が0件の会員には「カード情報編集」にアクセスさせないよう制御
• カード情報編集にreCAPTCHAを導入
• GMO-PG決済プラグインの最新版が公開されていた為、最新版にアップデート

これらの対策により、不正リクエストは即日で沈静化。
以後、クレマアタックの兆候は確認されていませんが、引き続き監視の必要があります。

セキュリティ対策は「やっているつもり」では不十分です。
設定の抜け漏れや仕様差によって、攻撃の入り口が残っているケースが多く見られます。

サンクユーにご相談ください｜EC-CUBEパートナーとしての専門対応

サンクユーは、EC-CUBE公式パートナーとして、 クレマアタックを含む不正アクセス・決済関連トラブルの調査と対策実績を多数有しています。

・DGFT、GMO-PG、ソニーペイメント、SBPSなど主要決済代行会社との連携実績あり
・不正アクセス検知、ログ解析、プラグイン改修をワンストップで対応
・EC-CUBE4系全バージョンに精通

「今の対策で十分か確認したい」「どの部分にreCAPTCHAを追加すべきかわからない」 という方は、ぜひ一度ご相談ください。

▶ ご相談はこちら

攻撃が起きてからでは遅い――“予防と検証のプロセス”を、今のうちに整えておきましょう。

EC-CUBEのゲスト購入を利用したクレジットマスターが発生

多発するクレジットマスタークレジットカードの規則性を悪用し、利用可能なカード番号を判別する行為です。クレジットカード番号には規則性があるのですが、その規則性を利用して大量のカード番号をECサイトで試して、利用可能なカード番号を割り出す...

www.thank-u.net

2023.03.28

投稿者プロフィール

OSAMU HORIKAWACEO

株式会社サンクユー 代表取締役CEO。
基幹システムとECをつなぎ、受発注業務の最適化を支援する専門家。

関西大学卒業後、東証プライム上場のゼネコンにて人事総務を経験。
その後システムベンダーへ転職し、IBM AS/400環境における金融・物流・販売管理・経理・人事など、企業の基幹業務を支えるシステム開発に従事する。
プログラマからプロジェクトマネージャーまでを経験し、台湾・台北駐在として銀行システム構築プロジェクトにも参画。

この経験を通じて、「システムの質は要件定義の質に比例する」という思想を確立。
業務理解を起点としたシステム設計を強みとする。

その後、クレジット決済代行会社にて、決済システムの再構築や銀行連携、ECサイト構築を担当。
あわせて組織改革にも携わり、20名から60名規模への組織拡大を実現（退任時：常務取締役）。

2008年に株式会社サンクユーを創業、2010年に法人化。
現在は、基幹システムとECの両領域に精通した知見を活かし、BtoB企業における受発注業務のデジタル化・効率化を支援。
特に、FAX・電話・メールなどアナログ業務のEC化や、基幹システムとの連携を前提とした業務設計を得意とする。

単なるECサイト構築にとどまらず、業務フローの整理・要件定義・システム設計まで一貫して関与し、「現場で使われる仕組み」を実現することを重視している。

NTTレゾナント「goo Search Solution」にてEC関連コラムを執筆。
ECマーケティングレポート | goo Search Solution

■趣味・関心領域
BMW / WRC / ロードバイク / RIZIN / UFC / 大相撲
David Bowie / blur / MUSE / The Rolling Stones / XTC
機動戦士ガンダム（富野由悠季）
ベルセルク / 頭文字D / 進撃の巨人 / ジョジョの奇妙な冒険 / あしたのジョー
Mission: Impossible / Memento / ワイルド・スピード / ソナチネ
LOST / Game of Thrones / FRINGE / The Mentalist
上岡龍太郎 / ダウンタウン

最新の投稿

• B2B-EC2026.04.21既製品の受注システムが合わない会社が見直すべきポイント
• B2B-EC2026.04.20法人向け受注サイトの費用感｜何にコストがかかるのか
• B2B-EC2026.04.17取引先ごとの価格設定が複雑な会社がWeb化で改善できること
• EC-CUBE2026.04.16BtoB-ECとWeb受注化の違いとは？どちらを選ぶべきか徹底解説