皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた件に関しては『経済産業省』からも注意喚起が出ておりますので、今日はそれについてお伝えします。

EC-CUBE2系でクレカ情報流出被害増加

『EC-CUBE』の中でも『EC-CUBE2系』において特に発ししている事象として、セキュリティ対策などが十分に行われていないECサイトにおいて改ざんがされ、攻撃を受ける可能性があるとされています。

・正しいインストール環境設定

・EC-CUBEの既知の脆弱性修正対策

・利用しているサーバーのセキュリティ対策

・ECサイトの管理画面のセキュリティ対策

・同じ環境に設置されている他のCMSのセキュリティ対策

これらが十分に行われているかが重要であるとしています。

具体的な確認と対策方法に関しては、

・/data ディレクトリや /install などのディレクトリが運用環境で公開されてしまっていないかを確認し、公開されてしまっている場合には /install の削除、 /data ディレクトリへのアクセス制限を行う。

・過去にEC-CUBEより発表された脆弱性が修正されていない場合は修正を行う。

・管理画面のURLが /admin/ など推測されやすいURLになっている場合、それを推測されにくいものに修正する。

・IP制限やBasic認証をかけるなどし、管理画面へのアクセス制限行う。

・利用しているサーバー、CMSなどのセキュリティが担保されているかや、そのサーバーのOSやミドルウェアの脆弱性対応がされているかを確認する。

・WordPressなどのCMSなどにおいてデータベース接続を行うアプリケーションをインストールしている場合、アプリケーションのプラグインの脆弱性対応がされているかを確認する。

これらの確認が必要になってきます。

また、自社内での確認、対策などが困難な場合はインテグレートパートナーに相談するなどして対応するよう呼び掛けています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたハッキング事件の中に含まれているとされるウイルス（セキュリティ）対策企業において、今回は内部的な不正流出事件が発覚しました。

今日はその情報をお伝えします。

顧客情報が不正流出した企業とは

昨日からメディアでも報道されているようですが、今回、顧客情報が不正流出した企業はウイルス（セキュリティ）対策で知られる『トレンドマイクロ社』です。

同社の発表では、テクニカルサポートに所属していた元従業員が海外市場で個人向け製品を利用している一部の顧客情報を持ち出し、第三者に提供したとされています。

（第三者は入手した情報を悪用してサポート詐欺犯罪を行っていたという情報も。。。）

日本市場においては問題なく、クレジットカード情報や金融機関の口座番号などは含まれていないとされていますが、『セキュリティ対策』でビジネスを行っている大手企業としてはあまりにもお粗末な話です。

何か、このような企業のセキュリティ製品を使用していて大丈夫なのだろうか？という不安さえ覚える人もいるでしょう。

しかし、これは他人事ではありません。

自社において同じような事案が発生してしまう可能性はどの企業にもあります。

このようなことが起きないよう社内全体に周知徹底を図ることは当然ですが、問題が起きた場合にはそれぞれがどのような立場に追い込まれてしまうのかなどの説明をわかりやすく行い、社員にそれらを理解してもらうことが重要でしょう。

ちなみに、個人的にはトレンドマイクロ社の製品をお勧めはしません。