経産省からEC-CUBEの脆弱性について注意喚起 EC事業者が行うべきセキュリティ対策とは?
昨年(2019年)12月20日に、経済産業省から「株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について」が発表された。EC-CUBEを利用しているECサイトに対して、クレジットカード番号等が窃取される危険性があることについての注意喚起が目的である。
今日、インターネットを活用するすべての企業・個人にとって、情報セキュリティは極めて大切だ。とりわけEC事業者にとっては、万が一の事態が発生した際の被害が重大であることに鑑みれば、しっかりとした対応が求められるところである。
しかし、具体的にどのように対応すべきなのかわからない、というEC事業者も少なくない。そこで、ウェブアプリケーション脆弱性診断やウェブセキュリティ強化支援などを手掛けるEGセキュアソリューションズ株式会社の代表取締役である徳丸 浩氏と、株式会社イーシーキューブの取締役社長である金 陽信氏、および取締役の梶原 直樹氏にお話を伺った。
まだまだ、理解が広がらないEC-CUBEの一部バージョンで発覚した脆弱性とは?
――先ごろの経済産業省による注意喚起の背景や、その後のEC-CUBE側の取組みについてお教えください。
金 EC構築パッケージである「EC-CUBE」は、オープンソースであるという使い勝手の良さから、多くのEC事業者様にご利用いただいております。オープンソースとしてご利用いただけるようになってから10数年が経過しており、当然のことながら、その間に何度となくバージョンアップもしています。
そうした中で、一部のバージョンのEC-CUBEをご利用いただいているECサイトで、サイトページが改ざんされるという事態が発生するようになりました。
2019年5月以降、当社としても状況を把握してすぐに可能な限りの注意喚起情報を発信してきたのですが、誰でも簡便に利用できるオープンソースという特性もあり、すべての利用者に情報をお届けすることが困難な状況が続いていました。
梶原 実際にクレジットカード情報が窃取されるという被害が発生していることも中で、なかな店舗様に情報を届けることができない状況を打破するため、当社と経済産業省との間で協議を重ねた結果、経済産業省から注意喚起情報を出していただくことになったのです。
https://www.meti.go.jp/press/2019/12/20191220013/20191220013.html
金 現在、当社としては、EC-CUBEを利用されているEC事業者様向けの『セキュリティチェックリスト』を作成して公開するなど、具体的な対策を行っています。EC事業者ご自身でチェックができるようなツールを開発し、ご提供も開始いたしました。
梶原 今回、「EC-CUBEの脆弱性」と経産省から告知がでていますのが、確かに過去EC-CUBEでは複数の脆弱性公開を行っているものの、実際、最も狙われる原因となっているのは、ソフトウェア自身の脆弱性というよりは、サーバーへEC-CUBEが適切にインストールされていないことが原因であることが判明しています。その場合、外部から見えてはいけないディレクトリやファイルが見えてしまうことで、ファイル改ざんにつながってしまいます。
金 今回の原因に関しては、比較的簡単な設定ファイルの変更などで防げることもわかっており、可能な限りのアナウンスをしているのですが、それでもまだまだ情報が伝わり切っていないので、さらに情報発信、そしてツール提供などパートナーの皆様と共に実施していきながら、店舗様のセキュリティ向上を実現させていきたいと思っています。
EC事業者が行うべき3つのセキュリティ対策とは?
――ECサイトを開設・運営しているEC事業者は、どのような対策を採るべきでしょうか
徳丸 ECサイトを展開されている事業者様であれば、検討すべきセキュリティ対策は3つあります。
1つは脆弱性診断です。いま現在、自社のECサイトにどんなリスクがあるのかを把握しないことには、具体的な対策を実施できません。一般的にECサイトの脆弱性診断を実施しようとすると、サイトの規模にもよりますが、数百万円かかることもあります。
ただ、現在当社では、EC-CUBEをお使いのEC事業者様向けに、まずはカード情報漏洩対策として、運用中のサイトが最低限のセキュリティレベルを満たしているかをチェックする『EC-CUBE無料セキュリティチェック』というサービスを提供しています。名前の通り、無料でセキュリティチェックができますので、EC-CUBEでサイトを構築されているEC事業者の方には、ぜひご利用いただきたいと思います。
2つめとしては、Web Application Firewall(ウェブ・アプリケーション・ファイアウォール)、いわゆるWAFの導入です。Web上のアプリケーションに特化したファイアウォールで、不正な攻撃に対する防御対策として有効です。以前は、導入にあたって専門知識が必要だったり、費用が高額だったりという問題がありましたが、最近ではクラウド版のWAFなどもあり、専門知識がなくても簡単に導入できますし、費用も安価なものが出てきています。
そして3つめが、「改ざん検知」です。今回のEC-CUBEに関するセキュリティ問題でも、ほぼ100%の被害サイトが、決済画面を改ざんされ、そこからカード情報が漏えいしています。現在では、EC事業者側はカード情報の非保持化が進んでいますから、EC事業者からカード情報などが漏えいすることはなく、決済画面が改ざんされて、そこにユーザーが情報を入力してしまうことで、情報が流出してしまうわけです。
ですから、自社ECサイト内で、ページの改ざんがあったことをいち早く感知できれば、被害を小さくできますし、場合によっては被害を未然に防ぐことも可能になるのです。
理想としては、脆弱性診断はすべてのEC事業者にやってほしいところです。ただ、すでに話した通り、少なくともEC-CUBEを使用しているECサイトには、当社で無料チェックができますので、それをご利用していただきたいですね。2つめのWAFについても、最近では昔より安価で導入が簡単なものが出てきておりますので、中小規模のEC事業者であっても導入検討に値すると思います。
3つめの改ざん検知については、運用面で専門知識が必要になるなど、少々ハードルが高くなりますので、必要に応じて導入を検討すればよいと思います。その他にも当社ではECサイトのセキュリティに関するさまざまなソリューションをご用意していますので、お問合せ・ご相談をいただければと思います。
セキュリティ対策の第一歩は、EC事業者の意識改革から
――EC-CUBEに関しては、さまざまな対策が採られていることがわかりました。また、EGセキュアソリューションズさんにご相談すれば、ご対応いただけることも心強い限りです。しかし一方で情報漏えい問題などは後を絶ちません。EC事業者として、セキュリティ問題とどう向き合うべきでしょうか。
徳丸 自社でECサイトを開設・運営しているのであれば、何らかのセキュリティ対策を講じることは、義務だと認識いただいた方が良いと思います。以前に比べれば、セキュリティに対する意識が高まってきているとは思いますが、それでもまだ他人事のように感じているEC事業者の方が多いのではないでしょうか。
金 当社でも、今回の問題の発生を受けて、制作会社を経由してユーザーに情報提供するような取組みもしたのですが、制作は依頼しても、その後の保守・メンテナンス契約を結んでいないEC事業者が多いため、ユーザーをなかなか特定できませんでした。作りっぱなしで何らメンテナンスしていない可能性が高いECサイトが多いようです。
梶原 また、EC-CUBEの管理画面上に、強制的に注意喚起の情報を表示するような告知対策も実施したのですが、それでも認知してくださる方は多くありませんでした。
徳丸 おそらく、管理画面などを見ている方は運営のスタッフが中心で、事業主などの責任者の方は見ていない可能性もありますね。そういう意味では、セキュリティ対策の第一歩は、セキュリティ対策の必要性を正しく理解するという意識改革なのかもしれません。セキュリティ対策を講じるには、一定のお金がかかるので、EC事業者の方などはコストを抑えたいと考えがちなのかもしれませんが、セキュリティに投じるお金はコストではなく、必要経費です。セキュリティ“必要経費”なのです。
万が一、漏えい問題などの当事者になったら、その被害・損害は甚大になることもあります。EC事業者にとっては、情報漏えいは極めて大きな事業リスクなのです。そうした意識を持つことが大切だと思います。
当社では「EC-CUBE」サイトへの典型的な攻撃を防御するWAFの有用性に着目し、国産クラウドWAF「GUARDIAX」のオプション機能として「EC-CUBE」向けの防御機能を新たに開発・追加いたしました。この機能追加により、「EC-CUBE」を利用しているEC事業者様、またECサイト制作会社が手間なく安価に利用可能なWAF提供を実現いたします。セキュリティ対策に少しでも関心のあるEC事業者様には、是非ご相談いただきたいですね。
EC-CUBEを使ってECサイトを構築している事業者には、まずは自社サイトに問題がないかどうかをチェックすることをお勧めしたい。また、EC-CUBEを使っているかどうかにかかわらず、EC事業者であれば、セキュリティ対策をどうするのかは避けられない重要課題だということをしっかりと認識することが不可欠だといえよう。 もし必要ならばEGセキュアソリューションズに相談してみることをお勧めしたい。