株式会社SHIFT SECURITY（本社：東京都港区、代表取締役：松野 真一、以下SHIFT SECURITY)は、「EC-CUBE」を活用したECサイトの脆弱性診断を無償で請け負う「EC-CUBE向け無償簡易セキュリティ診断」を開始した。

横行するカード情報抜き取り「フォームジャッキング」

同社によれば、クレジットカード情報が抜き取られる手法（フォームジャッキング）のセキュリティ被害が日本国内で多発している。これらの被害を未然に防ぐためには、ECサイトの運営者が独自に自社サイトの脆弱性を診断・監視するなどのセキュリティ対策を実施する必要があるとしている。

しかし対策を行う場合、一般的には外部の専門会社に脆弱性診断・検査サービス（以下脆弱性診断）を委託するなど、専門業者の手を借りる必要があり、その導入・運用にかかるコストの大きさや専門知識の不足から中小企業や個人事業者は十分な対策を取れない場合もある。

ECサイトの脆弱性診断を無償で

SHIFT SECURITYは、セキュリティ対策の導入障壁を低くすればインターネット上のあらゆるサービスがユーザーにとって安心・安全なものになると考える。この考えのもと、ECサイトのオープンソースである「EC-CUBE（※1）」を活用したECサイトの脆弱性診断を無償で請け負う「EC-CUBE向け無償簡易セキュリティ診断」を開始したのだ。

「EC-CUBE」をオープンソースとして提供する株式会社イーシーキューブ(本社：大阪府大阪市北区、代表取締役：岩田 進、以下 イーシーキューブ)もまた、ユーザーに対する対策案を提供し注意喚起を促しているが（※2）、これらの対策を自社内で行うことが難しいユーザーには、SHIFT SECURITYが無償で簡易的な脆弱性診断を実施する。

同社ではこれにより、中小企業や個人事業者が運営するECサイトにも安心、安全を担保することが可能となるとしている。

◆「EC-CUBE向け無償簡易セキュリティ診断」について

・正式名称：EC-CUBE向け無償簡易セキュリティ診断
・開始時期：2019年5月から提供開始
・診断範囲：EC-CUBEに特化したクレジットカード流出被害に関連する脆弱性
・診断フロー：①フォームから申し込み → ②診断 → ③メールにて結果報告

※1 「EC-CUBE（イーシーキューブ）」とは、株式会社イーシーキューブが開発・配布をしている、無料で利用・改変できるEC構築「オープンソース」だ。
※2 「EC-CUBE」ニュースページ：【重要】サイト改ざんによるクレジットカード流出被害が増加している（2019/05/09）

ユニクロでも46万件の個人情報流出

つい先日には、ユニクロの公式オンラインストアから46万件以上の個人情報が流出する事態が発生した。こちらはリスト型攻撃（不正に入手したパスワードリストを悪用して、手入力などでユーザーになりすましてログインする手法）での情報の抜き取りであり、サイトに不正なコードを書き込むフォームジャッキングとは手口が異なる。

しかし重要な個人情報が抜き取られることに変わりはなく、特にフォームジャッキングはクレジットカード番号など決済情報の核心を突くもので、より悪質性と危険度が高い。

こうして日本全国で急激な件数増加が社会問題となっているクレジットカード情報抜き取りの対策として提供する今回の新サービス。コストの問題で、運営サイトに十分なセキュリティ対策を行うことが難しいECサイトのセキュリティ向上に貢献することになりそうだ。