インターネット通販サイトを構築するためのツール『EC-CUBE』を開発提供する株式会社イーシーキューブによると、最近、ECサイトにおいて決済画面が改ざんされ、クレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が日本国内で増加しているようです。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
冒頭に書いた件に関しては『経済産業省』からも注意喚起が出ておりますので、今日はそれについてお伝えします。
EC-CUBE2系でクレカ情報流出被害増加
『EC-CUBE』の中でも『EC-CUBE2系』において特に発ししている事象として、セキュリティ対策などが十分に行われていないECサイトにおいて改ざんがされ、攻撃を受ける可能性があるとされています。
・正しいインストール環境設定
・EC-CUBEの既知の脆弱性修正対策
・利用しているサーバーのセキュリティ対策
・ECサイトの管理画面のセキュリティ対策
・同じ環境に設置されている他のCMSのセキュリティ対策
これらが十分に行われているかが重要であるとしています。
具体的な確認と対策方法に関しては、
・/data ディレクトリや /install などのディレクトリが運用環境で公開されてしまっていないかを確認し、公開されてしまっている場合には /install の削除、 /data ディレクトリへのアクセス制限を行う。
・過去にEC-CUBEより発表された脆弱性が修正されていない場合は修正を行う。
・管理画面のURLが /admin/ など推測されやすいURLになっている場合、それを推測されにくいものに修正する。
・IP制限やBasic認証をかけるなどし、管理画面へのアクセス制限行う。
・利用しているサーバー、CMSなどのセキュリティが担保されているかや、そのサーバーのOSやミドルウェアの脆弱性対応がされているかを確認する。
・WordPressなどのCMSなどにおいてデータベース接続を行うアプリケーションをインストールしている場合、アプリケーションのプラグインの脆弱性対応がされているかを確認する。
これらの確認が必要になってきます。
また、自社内での確認、対策などが困難な場合はインテグレートパートナーに相談するなどして対応するよう呼び掛けています。