株式会社イーシーキューブによって運営されているEC-CUBEは、日本発のオープンソース型オンラインショップ構築パッケージとして、ECサイト版のWordPressのようなイメージで多くの便利な機能に加えて、無償での利用が可能であるため、さまざまなECサイトで採用されています。
しかし、WordPress同様便利なモノには様々なリスクが付きまといます。今回の記事ではEC CUBEにおける問題点を記載していきますので、利用者の方は是非最後までお読み下さい。
*WordPressのセキュリティについては下記記事にて記載してますのでぜひ参考にしてください。
目次
EC-CUBEの歴史と過去の脆弱性が原因のトラブル
現在、広く利用されている日本発のオープンソース型オンラインショップ構築パッケージの「EC-CUBE」の歴史は古く、株式会社ロックオン(現株式会社イルグルム)が開発してきたオンラインショップ構築システムECKitを元に2006年9月にリリースされました。自由にECサイトを構築できる利便性と無料で使用できる手軽さから日本国内では約35,000ものサイトがEC-CUBEを利用していると言われております。
しかし便利な反面、利用者が増えると共に多くの問題も指摘されてきました。直近では2019年に業界全体でクレジットカード情報の漏えい事件などが多発し、広く使用されていることからEC-CUBEは経済産業省からも名指しで脆弱性のリスクを指摘されるという不名誉な事態も発生してしまい、大変な対応を迫られる結果となった。
特に代表的な事例としては京都の食品会社「京都一の傳」が2019年5月までの9カ月間でクレジット情報18,855件が流出したと発表したことなどが挙げられます。
株式会社京都一の傳サイトより引用:弊社が運営する「京都一の傳 お取り寄せページ」への不正アクセスによる個人情報流出に関するお詫びとご報告
EC-CUBEで安全な運用は可能なのか
さて、2019年に経済産業省から名指しされたEC-CUBEですが、本当に問題を起こさないセキュリティ対策は可能なのでしょうか?結論を先に申し上げると「可能」です。
安全な運用を可能にするためにするべきことは何か?それは、下記の記事で株式会社イーシーキューブの代表取締役社長である金さんが話しているように、EC-CUBEのセキュリティはEC事業者及びサイトを制作する業者の意識の改革なのです。
ECのミカタより引用:経産省からEC-CUBEの脆弱性について注意喚起 EC事業者が行うべきセキュリティ対策とは?
ここで皆さんに理解していただき易いようにEC-CUBEを用いてECサイトを作る際の各立場をリアル店舗に置き換えて考えてみましょう。
EC事業者 :店舗のオーナー
ECサイト制作会社:店舗を建てる工事事業者及び管理会社
EC-CUBE :お店を建てる為の建材を提供している材料会社
さてイメージ出来たでしょうか。EC-CUBEはあくまでもお店を作る建材を提供しているだけに過ぎず、店舗を建てる時の設計やその後の管理体制が最も重要なのです。もちろん建材が古くなったり、鍵がかからなくなることもあります。EC-CUBEは自社のサイトで事業者や制作会社に対してセキュリティ対策の実施やシステムの更新などの発信を続けていました。
しかし、この発信を無視していたり気が付かないことで対策せずに放置していたことによりカード情報の漏えいなどに繋がっています。
EC-CUBEで必須のセキュリティ対策3選
上記でご紹介した記事中にも紹介されていましたが、代表的な3点をご紹介致します。
1.ECサイトを脆弱性診断でリスクの把握
セキュリティ対策を実施するためには先ず、自社のサイトにどの様なリスクがあるかを把握しないと何も始まりません。店舗で利用した建材に問題があるか、従業員用入口の鍵がちゃんと閉まるのかなど把握したうえで対策を実施しないと何から手を着けていいのかわからないと思います。リアル店舗なら警備会社さん等に依頼するように、まずは自社のサイトの脆弱性診断を実施してリスクを把握する必要があります。
しかし、脆弱性診断はサイト規模にもよりますが診断だけで数百万円になるケースもあります。中小規模のECサイト事業者ではなかなかその予算確保が難しいのも現実です。secuasは無料診断を提供していますので、まずは無料で一度診断してサイトのリスクが何件あるのか見てみてください。
2.ECサイトにWAF(Web Application Firewall)を導入
WAFはWEB上のアプリケーションに焦点を当てたファイアウォールで、不正なアクセスから防御するための効果的な手段です。以前は、その設定には専門的な知識が求められたり、高いコストがかかるという課題がありました。ところが近年になって、クラウドベースのWAFなどが台頭し、その結果、専門的なスキルがない人でも容易に利用を始められるようになり、また費用面でも手頃なものが提供されるようになっています。
3.ECサイトに改ざん検知サービスを導入
EC-CUBEにおけるセキュリティの懸念点として、ほぼ全ての被害者が決済画面を勝手に改ざんされるペイメントアプリケーションの改ざんが原因となり、そこからクレジットカード情報が流出しています。EC運営者はカード情報の非保持化が一般的になっておりカード情報を保持していないことで安心してしまう事業者が多数います。しかし、現在では改ざんされた決済画面でユーザーが自身の入力情報を盗む手口が一般化しており、サイトの改ざんが原因となりカード情報が漏えいしています。
そのため、自社が運営するECサイト内でページがいつ改ざんされたかをすばやく把握できれば、被害規模を小さく抑えることが可能となります。さらに良ければ、予防措置として被害自体を防ぐことも可能になるでしょう。
以上、3点が外部サービスを利用してすぐに出来るセキュリティ対策です。この3点もリアル店舗に置き換えてイメージしてみると
1.ECサイトを脆弱性診断でリスクの把握=SECOMを導入し、店舗のセキュリティレベルを高める
2.ECサイトにWAF(Web Application Firewall)を導入=入口に警備員を配置する
3.ECサイトに改ざん検知サービスを導入=万引きGメンを配置する
といったイメージです。まずは、自社サイトのセキュリティレベルを高める為にも脆弱性診断を実施することをお薦め致します。
まとめ「EC-CUBEを脆弱性診断して自分たちでリスクを管理」
2019年に経済産業省から発表された後もカード情報漏えい事件は後を絶ちません。2023年になっても下記のような事件が頻発しています。
EC-CUBEからも脆弱性対策の発表は2023年8月にもされていますが、なかなかこの情報がキャッチされておらず対策されていないのも現状だと思います。
EC-CUBEより引用:脆弱性リスト
EC事業者の皆様は、前述した対策の中でもまずはセキュリティ対策最初の一歩である脆弱性診断は間違いなく実施してください。「制作会社や保守管理をしている会社がやってくれているだろう」と思い込むのではなく、自社でリスクを把握し対応することをお薦めします。カード情報が漏えいしても制作会社や保守管理会社は責任を取ってはくれません。
ECサイトを制作している会社様は納品前や保守管理しているサイトの事業者様にぜひ脆弱性診断をお薦めしてください。万が一の際は自分たちの責任じゃなくてもトラブルに巻き込まれます。
EC事業者も制作会社も、まずは無料で使えるsecuasでアカウントを作って無料診断を実施してみてください。