セキュリティの
学び場

今回の解説ニュース

EC-CUBE にXSSの脆弱性、悪用した攻撃によるクレジットカード情報流出も確認

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月10日、EC-CUBE におけるクロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes（ジャパン・バルネラビリティ・ノーツ）（JVN）」で発表した。(記事はこちら)

EC-CUBEに緊急度の高い脆弱性が発見されています。該当するバージョンをご利用中の方は、攻撃された痕跡がないか確認したうえでEC-CUBEのアップデートを行いましょう。

今回、脆弱性が発見されたEC-CUBEのバージョンは4.0.0から4.0.5です。開発者からはすでに脆弱性に対応したバージョン4.0.5-p1が提供されているので、アップデートをするか、開発者が提供する情報をもとにプログラムを修正することが必要です。

今回、発見された脆弱性はクロスサイトスクリプティングです。攻撃者が特定の入力欄にスクリプトを入力し、ECサイトの管理者がスクリプトの表示される画面を開いてしまうと、ブラウザ上で任意のスクリプトが実行される可能性があります。クロスサイトスクリプティングとは、XSSと略される脆弱性です。攻撃者はXSSの脆弱性のあるWebサイトにスクリプトを埋め込むことで、被害者がWebサイトへアクセスした際に、被害者の情報を窃取するなどの攻撃に悪用することができます。

すでに本脆弱性を悪用したと思われる攻撃によってクレジットカード情報の流出が確認されています。該当するEC-CUBEのバージョンをお使いの方は、速やかに対応することが求められます。

EC-CUBE利用者がまずするべき事

EC-CUBEをご利用中の方は、まずEC-CUBEのバージョンを確認して、もし該当するバージョンを利用していた場合は、ECサイトが攻撃されていないか確認することが必要です。その後、開発者が提供する方法で脆弱性を修正しましょう。

まず、EC-CUBEのバージョンを確認することが必要です。繰り返しになりますが、EC-CUBEのバージョン4.0.0から4.0.5を利用している場合は、攻撃の被害が発生している可能性があります。脆弱性に該当するEC-CUBEのバージョンを利用していたら、攻撃されていないか確認することが必要です。確認方法については、開発者から情報提供されています。(リンクはこちら)

ここで注意が必要なポイントがありまして、攻撃されていないか確認しようとして、攻撃のスクリプトを実行して被害が発生してしまう可能性があるということです。まず、開発者から提供されている情報をしっかり読んでから、ECサイトが攻撃されていないか確認するようにしましょう。

コンピュータフォレンジックを無償で請け負っています

当社では脆弱性の発表直後から開発者と連携して、無償でコンピュータフォレンジックを請け負っています。

コンピュータフォレンジックとは、サーバに残されたアクセスログなどからサイバー攻撃の痕跡を調査するものです。フォレンジックは直訳すると「法廷」という意味で、日本では2006年にライブドア事件で警察が押収したパソコンから復元したファイルを法的証拠として活用したことで知られています。

今回の脆弱性を悪用したサイバー攻撃では、攻撃されてから被害を受けるまで一定の条件を必要とします。そこで、開発者が提供している方法でECサイトが攻撃されたことを確認できた場合、別途アクセスログなどを調査して実際の被害が発生しているか確認する必要があります。

当社では、攻撃が確認されたECサイトに対して、実際に被害が発生していないかの調査を無償で行っています。EC-CUBEをご利用中の方でご不安な方はご遠慮なくご依頼ください。「お金がなくてセキュリティ対策ができない人も全員救いたい」思いで、今後もこのような活動を継続してまいります。