EC-CUBE脆弱性情報の公開の是非

EC-CUBE脆弱性情報の公開の是非EC-CUBE
この記事は約7分で読めます。

脆弱性てなんて読むの?

脆弱性とは「ぜいじゃくせい」と読みます。

たまに、お客様と会話していると「きじゃくせい」と言われる方がおられ、さりげなく「そのぜいじゃくせいですが・・・」と正しい読み方を教えてあげるくらいは優しい私です。

ごく稀に、制作会社の方でも「きじゃくせい」と言われる方がおられるのにはビックリ仰天です。
それだけWEB制作業界も敷居が低くなったんだなぁ。。。と感慨深くなります。

脆弱性て何?

すみません。
冒頭から脱線しました。

脆弱性とは、システムの不具合(プログラムの不具合、仕様の不具合)によるセキュリティの欠陥のことを言います。
悪意のある人がその脆弱性を利用して、システムの内部に入り込んだり、情報を盗んだりすることができます。

ですので、システム(サイト)に脆弱性が発見された際には、速やかに対応する必要があります。

脆弱性はあってはならないものですが、ほとんどのシステムには「存在し得るもの」です。
それを念頭に置いて、サイト運営を行う必要があります。
もちろん、iPhoneにも脆弱性があります。
参考サイト:Apple iOS に複数の脆弱性

EC-CUBEの脆弱性

EC-CUBEにも脆弱性はあります。
脆弱性が発見される都度、開発元の株式会社ロックオンから脆弱性に関する情報と、パッチ(脆弱性を直す為のプログラム)が公開されます。
ですので、パッチを当てれば問題ありません。

EC-CUBEで運営しているECサイト様は、今一度下記ページをご確認下さい。
参考サイト:EC-CUBE脆弱性リスト

※脆弱性があった場合には都度ロックオン社より連絡がございますので、メールをしっかりチェックしておいて下さい。

EC-CUBE脆弱性の詳細情報を公開する意図と公開中止を求める意図

で、昨日、EC-CUBE脆弱性の公開・公開中止に関するtogetterがまとめられていました。
参考ページ:EC-CUBE脆弱性 公開中止関連反響まとめ

ことの発端は、Twitterアカウントg_satoさんが、EC-CUBEの脆弱性に関する情報をブログで公開したことにあるようです。
参考ページ:EC-CUBEで発見した脆弱性の詳細 前編|WEB系情報セキュリティ学習メモ

脆弱性情報を公開したg_satoさんの意図は以下です。

脆弱性の情報を全員が把握している状態になっているほうが、攻撃ログを解析しやすくなったり、脆弱性の有無を判定できるようになったり等、脆弱性への対策を立てやすくなります。

おっしゃっていることは、至極当然だと思います。

この記事公開を受けて、EC-CUBE開発元の株式会社ロックオンより、後編の公開を中止して欲しいとの申し入れがあったようです。
ロックオン社の意図は以下のようです。

EC-CUBE開発元の株式会社ロックオンより、脆弱性の再現手順の一般公開はユーザーへの被害が発生する恐れがあるため、今回のブログ記事の後編の公開は止めてほしい、との申し入れが来ましたので、後編の公開を中止いたします。

ロックオン社の意図も至極当然です。

なぜロックオン社は公開中止を要請したのか?

記事は前後編に分けて公開される予定で、まずは比較的危険性が低いものから前編として公開されたようです。

前編では、再現に失敗はしたものの検証プログラムが公開されています。
また、後編では他の脆弱性に関しての再現方法を公開すると予告していました。

再現方法が公開されると、「具体的にどうすれば脆弱性を攻撃できるか」が明確にされる訳です。

その点に、ロックオン社はリスクを感じたと思われます。
ロックオン社が公開しているレベルなら具体的に行動に起こす人は少ないだろうが、g_satoさんの情報だと実際に行動する人が出てくる確率が高くなる。
あくまで確率の問題ですが、そこを重視したと思われます。

EC-CUBEはオープンソースだからこそ、公開すべきでは?

EC-CUBEはオープンソースです。

ソースコードが公開されており、誰もが自由に扱ってよいシステムです。
開発元がロックオン社となっているものの、法人・個人を問わず、ボランティア精神溢れる有志が集って、日々機能追加・改善を行っています。

オープンソースであることを考えると、脆弱性の情報もしっかり公開して、皆(開発者・利用者)で共有し、いち早く対応すべきだと思います。

残念ながら、EC-CUBE利用者はEC-CUBEをオープンソースであることを正確に理解していない。

弊社は8年EC-CUBEを取り扱っています。

その長年の経験から分かることは、EC-CUBEを指定して問い合わせしてくるクライアントのほとんどが「EC-CUBE=無料で使えるシステム」という認識であるということです。
(ちなみに、弊社には、サイトを運営する企業、制作会社・デザイン会社からEC-CUBEに関して問い合わせがあります。
ですので、上記のクライアントはすべてを含んでいます。)

「EC-CUBE=オープンソース」と理解しているクライアントはかなり少ないです。

ですから、弊社がお取引する際には、「EC-CUBEとはなんぞや」「オープンソースはなんぞや」というお話をさせて頂きます。
決して「無料で使えるシステム」だけではないことを理解頂けるよう努めています。
オープンソースのメリット・デメリットをご理解頂いた上で、EC-CUBEでサイトを構築するようにしています。

それでも、サイトオープン後はシステムに無頓着

上記の通り、クライアントにご説明しても、サイトオープン後はシステムには無頓着です。

弊社では、サイトオープン後の月額保守サービスを提供していますが、保守サービスを契約されるサイト様は半分以下です。

保守をご契約頂いていない場合、システムの管理はクライアントで行って頂きます。
もちろん、脆弱性の情報はロックオン社から届くメールを自社で確認頂く必要がありますし、パッチ適用も行って頂く。
尚、自社でのパッチ適用が困難な場合は、弊社にお問い合わせ頂ければ個別見積もりにて対応させて頂きます。

しかし、保守契約を未締結なサイトはパッチ適用さえ行っていないし、それを依頼しようともしません。

以前、試しに脆弱性が発表されたタイミングで、保守契約未締結のサイトにパッチ適用を打診しましたが、返信は一切ありませんでした。
(自社でパッチを適用したか、もしくは他の制作会社に依頼していればいいのですが。)

やはり、ロックオン社の判断は正しかったのでは?

EC-CUBEをベースに構築しているサイトで、脆弱性対応を行っていないサイトは少なくない。と私は見ています。

そのような状況で、g_satoさんの情報はやはりリスクが高いと思います。

ロックオン社の判断が正しかったのではないでしょうか?

可能性の問題ですが、可能性は極力小さくしておくべきです。

EC-CUBEインテグレートパートナーとしての課題

弊社は8年間EC-CUBEインテグレートパートナーに認定されております。

その名に恥じないよう、EC-CUBE案件に誠心誠意関わって参りました。

もちろん、弊社が制作したサイトには成功して頂きたいです。
もっと基本的なことを言うならば、安定稼働し続けて欲しいです。

その為にも、サイト構築後のシステム保守の重要性、脆弱性対応の重要性をしっかり認知頂けるよう、クライアントの意識改革にも努めて参りたいと思います。


2016.08.29 23:17追記


↑「自動アップロード機能」ではなく『自動アップデート機能』ですね。お恥ずかしい。。。

投稿者プロフィール

OSAMU HORIKAWACEO
関西大学卒業後、東証プライム上場企業ゼネコンにて人事総務業務に従事。
幼少よりモノ作りが好きだったこともあり、「モノを作る仕事がしたい」という思いからシステムベンダーへ転職。

システムベンダーでは、IBMオフコンAS400で金融、物流、販売管理、経理、人事総務などのシステムを開発。
台北に駐在し遠東國際商業銀行のシステム構築プロジェクトへの参画など貴重な経験を積む。
10年間で、プログラマ、SE、プロジェクトリーダー、プロジェクトマネージャーを務め、「システムの質は要件定義の質に比例する」と学ぶ。

その後、クレジット決済代行会社にヘッドハンティングされる。
決済システムの再構築、国内外の銀行システムとの接続、クライアントの会社サイト制作・ECサイト構築を行う。
一方、組織改革を任され、20名から60名へ会社規模を拡大させる。(退任時役職:常務取締役)

2008年クリエイティブチーム・サンクユーを立ち上げ、2010年に法人化し株式会社サンクユーを設立。

クライアントの業界、取扱商材、ターゲット顧客を理解・分析することで、結果が出るWEBサイトを制作することを得意とする。
また、ECサイト構築・運営への造詣も深く、NTTレゾナント株式会社が運営するgoo Search Solutionでコラムを執筆。
ECマーケティングレポート | goo Search Solution


■趣味・好きなもの
BMW / WRC / ロードバイク / RIZIN / Bellator / UFC
David Bowie / blur / MUSE / TheRollingStones / XTC
機動戦士ガンダム(ファースト) / 富野由悠季
ベルセルク / 頭文字D / 進撃の巨人 / ジョジョの奇妙な冒険 / あしたのジョー
Mission: Impossible / Memento / ワイルド・スピード / ソナチネ
LOST / Game of Thrones / FRINGE / The Mentalist
上岡龍太郎 / ダウンタウン

お気軽にご相談ください

お気軽にご相談ください

タイトルとURLをコピーしました