経済産業省が注意喚起したEC-CUBEのクレジットカード流出問題を語る

昨年末にEC-CUBEのクレジットカード流出問題について経済産業省から注意喚起が行われました。

・株式会社イーシーキューブが開発・提供するインターネットサイト構築パッケージ「EC-CUBE」の脆弱性等を突いたインターネットショップのサイトの改ざん等により、クレジットカード番号等が窃取されるといった被害が多発しております。
・2019年現在までにインターネットショップが公表した漏えい事案において、約14万件のクレジットカード番号等が漏えいしていることが確認されております。
・このような甚大な被害が発生している状況に鑑み、インターネットショップの皆様におかれましては、「EC-CUBE」のご利用状況について再度検証を行い、ご利用を継続する場合には、的確な安全対策を行ってください。

引用元:株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について(注意喚起)

SNS上でも「EC-CUBEでECサイトを作成するのはリスクが多い」「購入するのも危険」といった投稿が数多くあります。

ぼくはEC-CUBE案件に4年ほど携わり、多数のシステム開発を行いました。

内情を知っている身として補足すべき内容、こうなってしまった原因についてお伝えしたいと思います。

これまでの経歴

冒頭でお伝えした通り、2015年から4年ほどEC-CUBEの受託案件の開発を行っておりました。

案件の内容は稼働しているサイトの保守作業、機能追加や改修がほとんどを占めていました。

新規にサイトを構築する機会は少なく、「いまあるサイトが色々と問題を抱えているから、改善できないか?」といった依頼が多かったです。

ちなみにこれまで経験した案件は下記にまとめてあります。

Portfolio | i-yusuke

注意喚起された内容の補足

さて本題のクレジットカード流出問題についてですが、補足すべきなのはEC-CUBEには複数のバージョンが存在すること。

問題になっているのは(おそらく)EC-CUBE2系と呼ばれるバージョンであり、EC-CUBEが事業者の間に認知され始めた時期のバージョンです。

EC-CUBE2系のバージョンは主に下記があります。

  • 2.4系
  • 2.11系
  • 2.12系
  • 2.13系
  • 違いは機能やユーザビリティの改善などで、それぞれのバージョン毎にマイナーバージョンアップされ続けました。

    その後、2015年にEC-CUBE3、2018年にEC-CUBE4がリリースされました。

    ネットの海に多く広まったEC-CUBE2系が標的にされているのは間違いないでしょう。

    また、今回の報道ではクレジットカードの流出が問題になっていますが、それだけでなくメールアドレスや電話番号といった個人情報の流出もあるようです。

    EC-CUBE3、4で何らかの被害を受けたという報告はまだ聞いていませんが、今後狙われる可能性はないとは言い切れません。

    原因と対策

    EC-CUBE2系が立て続けてに狙われる原因についてですが、EC-CUBEにセキュリティ上の脆弱性がある状態で運用されていることが原因かと思われます。

    各バージョンでマイナーバージョンアップされていると伝えましたが、ほとんどは脆弱性の対応です。

    EC-CUBEをダウンロードされて方に向けて更新案内のメールが届いているはずですが、そのまま放置されたサイトが多くあるようです。

    また、EC-CUBEがPHPで構築されたオープンソースであることから、同じPHPのオープンソースであるWordPressと同等に扱われていたのも原因の1つと思われます。

    WordPressを使ってコーポレートサイトを作成するデザイン会社がEC-CUBEも開発するというケースが多いと耳にしたことがあります。

    これの何が問題かというとEC-CUBEは複雑なECサイトを構築するオープンソースで基本そのまま利用せず、そのショップ独自の機能など何らかカスタマイズを行います。

    そのためシステム設計する力やシステムを組む技術力が求められるのですが、それがない会社が開発してしまって残念なシステムが出来上がっているのです。

    現に保守を引き継いだサイトの中には1から組み直すしかない状態のプログラム、見えちゃいけないものがブラウザから見えてしまうサイトもありました。

    最低限やるべきことは自社のEC-CUBEのバージョンを確認し脆弱性の対応がされているか、インフラの設定が適切に行われているか確認することです。

    脆弱性リスト | EC-CUBE

    ただ、そんな余力がないショップも少なくないようで放置され気味、何かあったときには後の祭りとなっているようです。

    リスクを認識していない事業者もいるようなので、そこはEC-CUBEの仕組み(自動アップデートや警告機能)で何とかできたかもしれませんが今更できることは少ないので、1人でも多くの事業者に届くように発信し続けるしかないでしょうね。

    どんな事例があるか興味がある方は下記サイトで解説されているので、興味がある方は見てみてはいかがでしょうか。(EC-CUBEの事例もあります)

    Fox on Security

    おわりに

    EC-CUBEの開発元からも注意喚起しているようですが、中々事業者の耳に届かないようです。

    【重要】クレジットカード流出被害が増加しています。EC-CUBEご利用店舗のセキュリティチェックをお願いいたします。

    セキュリティチェックシートなるものも掲載していますが、これを理解できる事業者(システム開発元)がどれだけいるのかも疑問ではあります。

    EC-CUBE2から最新のEC-CUBE4にバージョンできれば1番良いのですが、全く別物のシステムの1から開発、多額の開発費がかかりあまり現実的ではないです。

    2020年、さらに被害が拡大することがなければいいのですが。。。

    ではまた。

ABOUTこの記事をかいた人

Yusuke Ito

■25歳時に異業種からWeb系企業に転職、現在はフリーランスとして活動 ■バックエンド(PHP、Ruby、Python)がメイン、フロントエンドも少々 ※ECサイトの開発が得意 ■筋トレ、ゴルフ、読書、ポケモンが趣味 ■エンジニアとしてのキャリア、アプリ開発、書評をメインに発信しています。