EC-CUBE脆弱性情報の公開の是非

脆弱性てなんて読むの？

脆弱性とは「ぜいじゃくせい」と読みます。

たまに、お客様と会話していると「きじゃくせい」と言われる方がおられ、さりげなく「そのぜいじゃくせいですが・・・」と正しい読み方を教えてあげるくらいは優しい私です。

ごく稀に、制作会社の方でも「きじゃくせい」と言われる方がおられるのにはビックリ仰天です。
それだけWEB制作業界も敷居が低くなったんだなぁ。。。と感慨深くなります。

脆弱性て何？

すみません。
冒頭から脱線しました。

脆弱性とは、システムの不具合（プログラムの不具合、仕様の不具合）によるセキュリティの欠陥のことを言います。
悪意のある人がその脆弱性を利用して、システムの内部に入り込んだり、情報を盗んだりすることができます。

ですので、システム（サイト）に脆弱性が発見された際には、速やかに対応する必要があります。

脆弱性はあってはならないものですが、ほとんどのシステムには「存在し得るもの」です。
それを念頭に置いて、サイト運営を行う必要があります。
もちろん、iPhoneにも脆弱性があります。
参考サイト：Apple iOS に複数の脆弱性

EC-CUBEの脆弱性

EC-CUBEにも脆弱性はあります。
脆弱性が発見される都度、開発元の株式会社ロックオンから脆弱性に関する情報と、パッチ（脆弱性を直す為のプログラム）が公開されます。
ですので、パッチを当てれば問題ありません。

EC-CUBEで運営しているECサイト様は、今一度下記ページをご確認下さい。
参考サイト：EC-CUBE脆弱性リスト

※脆弱性があった場合には都度ロックオン社より連絡がございますので、メールをしっかりチェックしておいて下さい。

EC-CUBE脆弱性の詳細情報を公開する意図と公開中止を求める意図

で、昨日、EC-CUBE脆弱性の公開・公開中止に関するtogetterがまとめられていました。
参考ページ：EC-CUBE脆弱性 公開中止関連反響まとめ

ことの発端は、Twitterアカウントg_satoさんが、EC-CUBEの脆弱性に関する情報をブログで公開したことにあるようです。
参考ページ：EC-CUBEで発見した脆弱性の詳細 前編｜WEB系情報セキュリティ学習メモ

脆弱性情報を公開したg_satoさんの意図は以下です。

脆弱性の情報を全員が把握している状態になっているほうが、攻撃ログを解析しやすくなったり、脆弱性の有無を判定できるようになったり等、脆弱性への対策を立てやすくなります。

おっしゃっていることは、至極当然だと思います。

この記事公開を受けて、EC-CUBE開発元の株式会社ロックオンより、後編の公開を中止して欲しいとの申し入れがあったようです。
ロックオン社の意図は以下のようです。

EC-CUBE開発元の株式会社ロックオンより、脆弱性の再現手順の一般公開はユーザーへの被害が発生する恐れがあるため、今回のブログ記事の後編の公開は止めてほしい、との申し入れが来ましたので、後編の公開を中止いたします。

ロックオン社の意図も至極当然です。

なぜロックオン社は公開中止を要請したのか？

記事は前後編に分けて公開される予定で、まずは比較的危険性が低いものから前編として公開されたようです。

前編では、再現に失敗はしたものの検証プログラムが公開されています。
また、後編では他の脆弱性に関しての再現方法を公開すると予告していました。

再現方法が公開されると、「具体的にどうすれば脆弱性を攻撃できるか」が明確にされる訳です。

その点に、ロックオン社はリスクを感じたと思われます。
ロックオン社が公開しているレベルなら具体的に行動に起こす人は少ないだろうが、g_satoさんの情報だと実際に行動する人が出てくる確率が高くなる。
あくまで確率の問題ですが、そこを重視したと思われます。

EC-CUBEはオープンソースだからこそ、公開すべきでは？

EC-CUBEはオープンソースです。

ソースコードが公開されており、誰もが自由に扱ってよいシステムです。
開発元がロックオン社となっているものの、法人・個人を問わず、ボランティア精神溢れる有志が集って、日々機能追加・改善を行っています。

オープンソースであることを考えると、脆弱性の情報もしっかり公開して、皆（開発者・利用者）で共有し、いち早く対応すべきだと思います。

残念ながら、EC-CUBE利用者はEC-CUBEをオープンソースであることを正確に理解していない。

弊社は8年EC-CUBEを取り扱っています。

その長年の経験から分かることは、EC-CUBEを指定して問い合わせしてくるクライアントのほとんどが「EC-CUBE＝無料で使えるシステム」という認識であるということです。
（ちなみに、弊社には、サイトを運営する企業、制作会社・デザイン会社からEC-CUBEに関して問い合わせがあります。
ですので、上記のクライアントはすべてを含んでいます。）

「EC-CUBE＝オープンソース」と理解しているクライアントはかなり少ないです。

ですから、弊社がお取引する際には、「EC-CUBEとはなんぞや」「オープンソースはなんぞや」というお話をさせて頂きます。
決して「無料で使えるシステム」だけではないことを理解頂けるよう努めています。
オープンソースのメリット・デメリットをご理解頂いた上で、EC-CUBEでサイトを構築するようにしています。

それでも、サイトオープン後はシステムに無頓着

上記の通り、クライアントにご説明しても、サイトオープン後はシステムには無頓着です。

弊社では、サイトオープン後の月額保守サービスを提供していますが、保守サービスを契約されるサイト様は半分以下です。

保守をご契約頂いていない場合、システムの管理はクライアントで行って頂きます。
もちろん、脆弱性の情報はロックオン社から届くメールを自社で確認頂く必要がありますし、パッチ適用も行って頂く。
尚、自社でのパッチ適用が困難な場合は、弊社にお問い合わせ頂ければ個別見積もりにて対応させて頂きます。

しかし、保守契約を未締結なサイトはパッチ適用さえ行っていないし、それを依頼しようともしません。

以前、試しに脆弱性が発表されたタイミングで、保守契約未締結のサイトにパッチ適用を打診しましたが、返信は一切ありませんでした。
（自社でパッチを適用したか、もしくは他の制作会社に依頼していればいいのですが。）

やはり、ロックオン社の判断は正しかったのでは？

EC-CUBEをベースに構築しているサイトで、脆弱性対応を行っていないサイトは少なくない。と私は見ています。

そのような状況で、g_satoさんの情報はやはりリスクが高いと思います。

ロックオン社の判断が正しかったのではないでしょうか？

可能性の問題ですが、可能性は極力小さくしておくべきです。

EC-CUBEインテグレートパートナーとしての課題

弊社は8年間EC-CUBEインテグレートパートナーに認定されております。

その名に恥じないよう、EC-CUBE案件に誠心誠意関わって参りました。

もちろん、弊社が制作したサイトには成功して頂きたいです。
もっと基本的なことを言うならば、安定稼働し続けて欲しいです。

その為にも、サイト構築後のシステム保守の重要性、脆弱性対応の重要性をしっかり認知頂けるよう、クライアントの意識改革にも努めて参りたいと思います。

2016.08.29 23:17追記

@ohorikawa 返信が遅れてすみません、ブログ記事での言及ありがとうございます。内容問題ありません。
EC-CUBEに関わる方で、EC-CUBEの利用ユーザーが脆弱性対応パッチをあまり当てていないのではないかという感覚を持っている人が多いようなので、（→）

— g_sato (@secmemoblog) 2016年8月29日

@secmemoblog ご了承頂きまして、ありがとうございます。
ご批判が出てくる覚悟でロックオンさんの意向に賛同する形で記事を終えました。
旧EC-CUBEでは自動アップロード機能もありませんし、カスタマイズをしている場合、パッチをそのまま適用できないサイトもあります。1/2

— 堀川　治 (@ohorikawa) 2016年8月29日

↑「自動アップロード機能」ではなく『自動アップデート機能』ですね。お恥ずかしい。。。

@secmemoblog また、利用者のリテラシーも低いなど課題が多いのは確かです。
今回の件で、様々な議論がなされ、少しでも前進すればればよいと思っています。
そんな悠長なことを言っている場合ではないのですが。。。
これからも一石を投じるような記事を期待しております。2/2

— 堀川　治 (@ohorikawa) 2016年8月29日

投稿者プロフィール

OSAMU HORIKAWACEO

株式会社サンクユー 代表取締役CEO。
基幹システムとECをつなぎ、受発注業務の最適化を支援する専門家。

関西大学卒業後、東証プライム上場のゼネコンにて人事総務を経験。
その後システムベンダーへ転職し、IBM AS/400環境における金融・物流・販売管理・経理・人事など、企業の基幹業務を支えるシステム開発に従事する。
プログラマからプロジェクトマネージャーまでを経験し、台湾・台北駐在として銀行システム構築プロジェクトにも参画。

この経験を通じて、「システムの質は要件定義の質に比例する」という思想を確立。
業務理解を起点としたシステム設計を強みとする。

その後、クレジット決済代行会社にて、決済システムの再構築や銀行連携、ECサイト構築を担当。
あわせて組織改革にも携わり、20名から60名規模への組織拡大を実現（退任時：常務取締役）。

2008年に株式会社サンクユーを創業、2010年に法人化。
現在は、基幹システムとECの両領域に精通した知見を活かし、BtoB企業における受発注業務のデジタル化・効率化を支援。
特に、FAX・電話・メールなどアナログ業務のEC化や、基幹システムとの連携を前提とした業務設計を得意とする。

単なるECサイト構築にとどまらず、業務フローの整理・要件定義・システム設計まで一貫して関与し、「現場で使われる仕組み」を実現することを重視している。

NTTレゾナント「goo Search Solution」にてEC関連コラムを執筆。
ECマーケティングレポート | goo Search Solution

■趣味・関心領域
BMW / WRC / ロードバイク / RIZIN / UFC / 大相撲
David Bowie / blur / MUSE / The Rolling Stones / XTC
機動戦士ガンダム（富野由悠季）
ベルセルク / 頭文字D / 進撃の巨人 / ジョジョの奇妙な冒険 / あしたのジョー
Mission: Impossible / Memento / ワイルド・スピード / ソナチネ
LOST / Game of Thrones / FRINGE / The Mentalist
上岡龍太郎 / ダウンタウン

最新の投稿

• B2B-EC2026.03.26BtoB-ECパッケージ導入で失敗する理由｜要件定義不足が引き起こす典型パターン
• B2B-EC2026.03.19BtoB-ECはSaaSで十分？向いている企業・向かない企業の違いと失敗しない選び方
• B2B-EC2026.03.17受注業務が忙しい本当の原因とは？人手不足ではなく受注構造にある理由と解決策
• B2B-EC2026.03.11システムの質は要件定義で決まる｜基幹業務システム開発の現場で学んだ本質