著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。

 2019年5月第2週の注目ニュースは3件。最初は、ECサイト向けソフトを開発する企業が出した注意喚起を取り上げる。

ECサイトからクレジットカード情報が漏洩、管理ソフトのファイル改ざんが原因(5月9日)

 ECサイト向けのコンテンツ管理システム「EC-CUBE」を開発するイーシーキューブは、ECサイトが改ざんされ、クレジットカード情報が漏洩する被害が相次いでいると注意喚起を出した。注意喚起を出したのは、複数の報道機関が同日、EC-CUBEを使ったECサイトでクレジットカード情報が漏洩していると報じたからだと考えられる。

イーシーキューブの注意喚起
(出所:イーシーキューブ)

 同社は注意喚起の中で、EC-CUBEを利用したECサイトで情報漏洩が発生したことを認めた。ただし、ユーザーのセキュリティー対策が不十分な場合に被害は発生しているとしている。

 セキュリティー対策が不十分だと、EC-CUBEのファイルが改ざんされる恐れがあるという。ユーザーには、十分な対策を施した上で、入力フォームにJavaScriptが設置されたり、購入フローに不正なURLが指定されたりしていないかを確認するよう、求めている。

 ECサイトからのクレジットカード情報の窃取は、入力フォームを改ざんする手法が一般的だったが、最近は別のサイトに移動させる手法が増えている。2018年夏以降、少なくとも7件の被害が公表されている。

 ECサイト内にクレジットカード情報が残らないように、決済代行業者のWebサーバーでクレジットカード情報を入力するECサイトが増えている。これが、別サイトに移動させる手法が増えている一因になっているのだろう。

https://www.ec-cube.net/user_data/news/201905/security_notice.pdf

この先は会員の登録が必要です。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら