知って得するセキュリティのはなし その47
EC-CUBEを使ったWebサイトで情報漏洩被害が増加…経産省・IPAが注意喚起
1.このニュースをザックリ言うと
- 12月20日(日本時間)に経済産業省より、同25日には情報処理推進機構(IPA)より、ECサイト構築用ソフトウェア「EC-CUBE」の脆弱性を突いた攻撃が増加しているとして注意喚起が出されています。
- 攻撃により、ECサイトの改ざんが行われ、クレジットカード番号等が窃取されるといった被害が多発しており、2019年の時点で約14万件のカード情報が漏洩しているとのことです。
- IPAでは、自身のサイトでEC-CUBEが使われているかとそのバージョンを確認すること、最新でない場合は速やかにアップデートすること、開発元のイーシーキューブ社が提供する情報に基づいてセキュリティ対策を実施することを推奨しています。
2.執筆者からの所感等
- ECサイトのサーバー側においてクレジットカード情報を保存・処理あるいは通過させない、いわゆる「非保持化」が進んでいる状況ですが、サイトの脆弱性を突かれ改ざんが行われた場合、この「非保持化」が維持されながらも、入力したカード情報を決済業者ではなく攻撃者へ送信するよう密かに細工することも可能であり、実際に攻撃者の手口もそれを狙うケースが増えています。
- サービスを信頼してサイトにアクセスし、かつ重要な情報を入力してくれるユーザーを危険に晒すことのないよう、使用するソフトウェアを最新のバージョンに保ち、また脆弱性を悪用しようとする不正なリクエストをWAF等で検知・遮断するといった対策も併せて行うことを推奨致します。