EC-CUBEの脆弱性は大丈夫?原因から対処法まで徹底解説

EC-CUBEの脆弱性は大丈夫?脆弱性の原因から対処法まで徹底解説 EC-CUBE
この記事は約6分で読めます。

経済産業省からEC-CUBEの脆弱性に対して注意喚起があった

昨年2019年12月20日に経済産業省よりEC-CUBEの脆弱性に対して注意喚起がありました。
株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について(注意喚起) (METI/経済産業省)

弊社の取引先様からもこの件についてご相談を頂きましたし、取引がないECサイト様からも問い合わせがありました。
経済産業省が注意喚起したことで、大手企業様は社長管轄プロジェクトとして動いていました。
実際に、その大手企業様のサイトは問題なかったものの、緊急対応として弊社も色々と調査しご報告させて頂きました。

また、弊社の下記ブログ記事にも多数のアクセスがありました。
EC-CUBEの脆弱性対応

以前からこの問題は報告されておりましたがこれほどの反響はなく、経済産業省が注意喚起するだけでかなり違うものだなと実感しました。

以前からクレジットカード流出被害については注意喚起があった

上述の通り、以前から株式会社イーシーキューブさんからEC-CUBEに関するクレジットカード流出被害の注意喚起はありました。
【重要】サイト改ざんによるクレジットカード流出被害が増加しています(2019/05/09)

にも関わらず、2019年年末に経済産業省から注意喚起がされたのか?
おそらく、以前から注意喚起されていたにも関わらず、対策を行っておらず、さらなる被害が続いたのだと思います。
それを見かねて、経済産業省が動いたのではないでしょうか。

EC-CUBEはそんなに脆弱性があるシステムなのか?

今回の注意喚起によって、EC-CUBEは脆弱性があるシステムと判断する方も少なからずいます。
弊社はEC-CUBEを10年取り扱っていますが、特段EC-CUBEに脆弱性があるとは思えませんし、また弊社のお客様のサイトから情報が漏洩するような問題は発生しておりません。

EC-CUBEに限らずWEBシステムには少なからず脆弱性はあることをご理解頂きたいです。
だからこそ、サイト制作時には脆弱がないようにサイトを構築する必要がありますし、サイトができてからもセキュリティパッチを適用するなど継続的な脆弱性対応が必要です。

EC-CUBEでの被害が続出した原因

私なりにEC-CUBEでの漏洩被害が続出した原因を推測してみました。

dataフォルダを閲覧できる位置に配置している

おそらくこれが一番の原因だと思います。
dataフォルダにはプログラムや設定ファイルなど重要なファイルが格納されているのですが、dataフォルダを誰もが閲覧できる位置に配置した状態で構築してしまっているECサイトがあります。

これは、構築した制作会社のEC-CUBEに対する知見がない為です。
制作会社の中には、デザインが得意だけどシステムには弱い会社さんもあります。
また、システムは得意だけどEC-CUBEの実績が少なく、EC-CUBEに対する知見がない会社さんも一時期はいらっしゃいました。

そういった制作会社に依頼することで、結果的にセキュリティに弱いECサイトができあがってしまったと思われます。

セキュリティパッチを適用していない

セキュリティホール(脆弱性)が見つかると適宜イーシーキューブさんからはセキュリティパッチが公開されます。
以下は、過去に公開されたセキュリティパッチです。
脆弱性リスト | ECサイト構築・リニューアルは「ECオープンプラットフォームEC-CUBE」

せっかくセキュリティパッチが公開されているにも関わらず、パッチを適用していないサイトが多いようです。

EC-CUBEは無料で利用できるECシステムです。
その為、安価にECサイトを構築したい企業が利用することが多いです。
で、安くECサイトを構築したい企業は、ECサイトのメンテナンスにお金をかけません。

本来であれば制作会社とシステム保守契約を締結して、サイトをメンテナスしていくのが当然なのですが、契約料が惜しい為に保守サービスを受けていない場合が多いです。
そのようなサイトはセキュリティパッチを適用することなく、セキュリティホール(脆弱性)がある状態でEC-CUBEを使い続けることになります。

EC-CUBE管理画面へのアクセスがすぐにできる

EC-CUBEの管理画面の標準URLは単純ですので、標準のままだと誰でもログイン画面にアクセスできます。
ログイン画面にアクセスできれば、容易にログインを許してしまうことになります。

URLを変更することで解決するかと言うと、URLを変えたところでハッカーの手に掛かればURLは探られます。

ですので、EC-CUBE管理画面にIPアドレス制限を設定することをお勧め致します。
困難であればベーシック認証ですが、これも破られる可能性は大きいです。

ログインを5回失敗したらアカウントを無効化するカスタマイズも可能ですので、そういった機能を実装しては如何でしょうか。

正直なところ、上記3点が大きい理由だと思います。
(もちろん、小さい理由も推測すればいくらでもありますが。)

EC-CUBEを使う場合、どうすればいいか?

EC-CUBEはとても素晴らしいシステムです。
しかも無料で利用できます。
これからもEC-CUBEで素敵なサイトが作られるでしょうし、EC-CUBEが日本のECを牽引するシステムの一つであることには変わりありません。

では、EC-CUBEを利用する場合、どのようなことに注意すればいいのか?
今回の問題はEC-CUBEにも問題はあったにしろ、むしろEC-CUBEを利用する側の問題の方が大きいように感じます。

以下の点を注意しながらEC-CUBEを使えばいいのではないでしょうか。

  • EC-CUBEに詳しい制作会社へ制作を依頼する
  • EC-CUBEに詳しい制作会社とシステム保守契約を締結する
  • 必要なセキュリティ対策を行う
  • セキュリティパッチを適用する
  • 予算があれば、定期的に外部のセキュリティ診断サービスを受ける

なお、EC-CUBEの新しいバージョンを利用すれば安心という訳ではありません。
新しいEC-CUBEには未知の脆弱性が隠れている可能性もあります。
また、新しいEC-CUBEはフレームワークを使用しており、フレームワークに脆弱性がある可能性があります。
新旧問わず日頃からセキュリティを意識しながらサイトを安全に運営することが大切です。

以上のように、今回の問題はEC-CUBEを使う側の原因が大きいというのが私の意見です。
残念ながら、誰もが安全に使えるWEBシステムは存在しません。
WEBシステムを利用する以上、システムに詳しい社員を雇用したり、制作会社と継続的な契約をすることが必須になります。
それができないのであれば、ASPサービスを利用されることをお勧め致します。

サンクユーのEC-CUBE脆弱性診断サービス

サンクユーではEC-CUBEの脆弱性診断サービスを提供しております。
定期的に脆弱性診断を受け、都度脆弱性に対応することで安全なECサイト運営を行うことができます。
低価格でご提供しておりますので、是非ご検討くださいませ。
EC-CUBE脆弱性診断サービス

投稿者プロフィール

HORIKAWACEO
関西大学卒業後、東証プライム上場企業ゼネコンにて人事総務業務に従事。
幼少よりモノ作りが好きだったこともあり、「モノを作る仕事がしたい」という思いからシステムベンダーへ転職。

システムベンダーでは、IBMオフコンAS400で金融、物流、販売管理、経理、人事総務などのシステムを開発。
台北に駐在し遠東國際商業銀行のシステム構築プロジェクトへの参画など貴重な経験を積む。
10年間で、プログラマ、SE、プロジェクトリーダー、プロジェクトマネージャーを務め、「システムの質は要件定義の質に比例する」と学ぶ。

その後、クレジット決済代行会社にヘッドハンティングされる。
決済システムの再構築、国内外の銀行システムとの接続、クライアントの会社サイト制作・ECサイト構築を行う。
一方、組織改革を任され、20名から60名へ会社規模を拡大させる。(退任時役職:常務取締役)

2008年クリエイティブチーム・サンクユーを立ち上げ、2010年に法人化し株式会社サンクユーを設立。

クライアントの業界、取扱商材、ターゲット顧客を理解・分析することで、結果が出るWEBサイトを制作することを得意とする。
また、ECサイト構築・運営への造詣も深く、NTTレゾナント株式会社が運営するgoo Search Solutionでコラムを執筆。
ECマーケティングレポート | goo Search Solution


■趣味・好きなもの
WRC / ロードバイク / MMA / ボクシング / サッカー
David Bowie / blur / MUSE / TheRollingStones / XTC
機動戦士ガンダム(ファースト) / 富野由悠季
ベルセルク / 頭文字D / 進撃の巨人 / ジョジョの奇妙な冒険 / あしたのジョー
Mission: Impossible / Memento / ワイルド・スピード / ソナチネ
LOST / Game of Thrones / FRINGE / The Mentalist

お気軽にご相談ください

お気軽にご相談ください

タイトルとURLをコピーしました