サイトは作ったあとが大事・・・
ITmediaの記事に、 日清紡Gでもセキュリティコードなどクレカ情報1000件漏えいか ECサイト改ざんで てのがありました。
日清紡グループで紳士シャツの販売などを手掛ける東京シャツ(東京都台東区)は6月7日、同社が運営するECサイト「東京シャツ公式オーダーサイト」が不正アクセスを受け、セキュリティコードを含むクレジットカード情報など計2218人分が漏えいした可能性があると発表したそうです。記事によると・・・
漏えいした可能性があるのは、(1)2019年4月2日から22年3月8日にかけ、ECサイトにクレジットカード情報を入力した人のカード番号、名義人、有効期限、セキュリティコード、IPアドレス、氏名、住所、メールアドレスなど991人分、(2)19年4月2日から22年5月26日にかけてECサイトに登録した人の氏名や生年月日など33人分、(3)21年10月1日から22年3月8日にかけて、東京シャツの店舗にあるタブレット端末からシャツを注文した人の氏名や住所、メールアドレスなど1194人分──など。
だそうです。実は、昨日にも スイパラ、セキュリティコードなどクレカ情報一式7000件以上漏えいか 不正アクセスで決済システム改ざん とのニュースが有ったばかりなのですが、このどちらのサイトでも利用されているのが、 EC-CUBE というオープンソースのEC向けコンテンツ管理システム(CMS)です。
(ソースにて確認済み)
EC-CUBEについては、オープンソースということもあり非常に多くのサイトで利用されているのですが、脆弱性についても、これまでにそれなりに多くのものが発見されています。
ただ、完璧なシステムなどこの世には存在しませんので、脆弱性が存在することも当然と言えば当然です。
EC-CUBEの脆弱性については、これまでにも 経産省からEC-CUBEの脆弱性について注意喚起 があったりと、危険度の高い脆弱性についてはかなりアナウンスされているはずなのですが、それでも一向に被害が減りません。
このあたりは、Fox on Securityさんの EC-CUBEは管理者ログインを守らなければならない に詳しいので、ご興味がある方は宜しければご覧下さい。
今回の被害がどの脆弱性(若しくはゼロデイ)によるものなのかは分かりませんが、EC-CUBEが悪いというわけではなく、EC-CUBEを使って制作しているサイト制作業者や運営元が適切なパッチやバージョンアップを行っていないことがそもそも問題です。
EC-CUBEのアナウンスの方法にも問題がないとはいえませんが、少なくともお客様の大事な情報を取り扱う業者としては、常にパッチやバージョンアップの情報にアンテナを張っておくべきでしょう。
現状で、EC-CUBEを利用しているサイトは数多くあるわけですが、これ以上の被害が出ないように、バージョンアップと適切なパッチの適用がされることを願って止みません。