2019年5月9日、日本最大級のECプラットフォーム「EC-CUBE」は、利用者(ECサイト運営者)に対して注意喚起を発表しています。ECの利用が増加している昨今では、「EC-CUBE」を利用したサイトに限らず、ECサイト運営者が考慮するべき内容かもしれません。
ECサイトから顧客クレジットカード情報が流出 手口はフォームの書き換えか?
今回の注意喚起は、ECサイトからのクレジットカード情報流出において「EC-CUBE」を利用して作成されたサイトからの情報漏洩が相次いでいると報じられている件を受け、発表しているとみられます。
今回の注意喚起で言及されているのは「フォームジャッキング」と呼ばれる、入力フォームのコード書き換えによって、情報を搾取する手口です。
最初に「EC-CUBE」を利用して無害なフォームを作ったとしても、一度ハッカーに乗っ取られれば、知らないうちにフォームを書き換えられていても気づくことはできません。実際の取引は問題なく継続できるフォームのまま、支払情報を外部に送信するような書き換えの手口もあり、書き換えられていても気づけないこともあります。
必要なセキュリティ対策は3種類
EC-CUBEによると、下記のようなセキュリティ対策が不足している可能性が高いとのことです。
- EC サイトの管理画⾯のセキュリティ対策
- 利⽤しているサーバーのセキュリティ対策
- 同じ環境に設置されている他の CMS のセキュリティ対策
具体的にどのような内容を確認し、対策をとる必要があるのかも、注意喚起の中でまとめられています。
既にECサイトが改ざんされていないかの確認
決済情報入力フォームにおいて、不明なJavaScriptが設置されていないかどうか、購入手続きでクレジットカード情報記入URLが正しいURLになっているか、の2点を中心に確認するべきのようです。
管理画面のURLが推測しやすくないか?
管理画⾯の URL はデフォルトのままだと、ドメイン以下のディレクトリが「 /admin/」 となっています。推測しやすく、外部から簡単に管理画面に入れるようになってしまうため要注意です。
管理画面へのアクセス制限
誰でも管理画面へアクセスできるようにしている状態も攻撃を受けやすい状態になります。IPアドレスによる制限や、Basic認証などの制限をかけることで、不正ログインを防ぐことができます。
公開されるべきディレクトリ以外のディレクトリが公開されていないか?
「/data」や「/install」などのサイト構造に関わるディレクトリが公開されている場合、そこから攻撃を受ける場合もあるため、こちらも確認してみる必要があります。
同じサーバを利用するシステムやCMSなどのセキュリティ対策は万全か?
サーバに侵入されてしまえば、情報を書き換えるのは難しくありません。ECサイトがどれだけ強固に守られていたとしても、ほかのCMSなどの脆弱性からサーバに侵入されてしまう可能性もあるので、確認が必要です。
「EC-CUBE」を使っているから安全、は間違い
今回のEC-CUBEの注意喚起では、サイト運営者への注意喚起になっています。もちろん、EC-CUBE自身もセキュリティ対策を強め、また、サイト運営者がセキュリティ対策をとりながらECサイトを構築できるサービスを充実させていく努力も継続してほしいところです。
ただ、EC-CUBE側の努力だけで守り切れない部分があることも間違いありません。利用者が、「大手のサービスを利用しているのだから安全だろう」と慢心してしまえば、いくらでも情報漏洩するリスクは高まってしまいます。
サービス提供側だけでなく、サービスの利用側も、セキュリティ対策の意識を強く持って利用することが重要なのです。
| 【参考URL】 EC-CUBEからの注意喚起全文 |