この記事はEC-CUBE Advent Calendar 2021 6日目の記事です。
昨日はあずみ.netさんの「EC-CUBE4のCustomizeディレクトリでカスタマイズしたらテストコードを書こう」です。明日はEC-CUBE社梶原さんの「【EC-CUBE DAY 2021イベント参加レポート】EC-CUBE DAY 2021 に参加してみて(by ボクブロック株式会社)」です。併せてお読みください。
EC-CUBEを利用しているサイトからのクレジットカード情報などの漏洩被害が未だに発生しています!
EC-CUBEは国内No.1のシェアを誇る、オープンソースのECサイト構築パッケージです。
2006年の最初のバージョンのリリース以降、様々な業種で使われており、2020年11月には月商1,000万円以上のネットショップ利用店舗数でNo.1に認定されています。
WindowsやWordPressと同じで、これだけ普及していると攻撃者から狙われる様になります。サイトの規模の大小は問わず、世界中のクラッカーから狙われており、先日もエヴァンゲリオン公式ECサイトもその被害に遭うなど、開発元からの注意喚起も虚しく未だ漏洩事件が起き続けています。
正直、EC-CUBEを使ったサイト構築で食ってる僕らとしては、あまりこういうネガティブなニュースは拡散したくありません。数万店舗の内のわずか数店舗が漏洩事件を起こしただけで、どうしても
「EC-CUBEは危険だ」
という印象を持たれてしまい、それによって
「自由自在にカスタマイズできる」
「独自のユーザ体験を提供できる」
といった、EC-CUBEの素晴らしいメリットが見え辛くなってしまうからです。
それでも声を大きくして言わないと、将来的にはオリジナリティ溢れる独自ECサイトすら無くなってしまう可能性が大きいのです。だから僕らはしつこいくらいに危険性、リスクを周知しようと努力をしています。
漏洩の原因の大半はメンテナンス(保守)をサボったから
要は古いバージョンを騙し騙し使っていたからです。
EC-CUBEのコアやプラグインの脆弱性を突かれているので、根本的な原因はEC-CUBEのソースコードにありますが、ソフトウェアにはバグが付きものです。
そういった脆弱性が修正されても、危険な古いバージョンを使い続けていることがリスクの増大を招き、結果として被害を発生させています。古いバージョンのWindowsをウィルス対策ソフトも無しにずっと使い続けている様なものです。
10年以上EC-CUBEのカスタマイズを行っていますが、修正されていない脆弱性で被害が発生した事例は、1〜2件しか聞いたことがありません。ほとんどが運営者の怠慢からくる被害です。
想像以上に狙われていることを自覚しましょう
まず、昔と違い現在ではECサイトをオープンしたらどんな小さなショップで攻撃されるという事を認識しましょう。
これはEC-CUBEに限った話ではありません、ShopifyでもWooCommerceでもWelCartでも同じです。
現在では、WAF(Web Application Firewall)とECサイトはセットだと思いましょう。WAFは未知のXSSとかも防いでくれます。
クレジットカード情報が漏洩したらどうなるのか?
フォレンジック(調査)で300万円ほどかかる
漏洩後のサイトの状態の調査等で300万くらいかかります。これは決済代行会社やカード会社から要求されるものなのでやるしかありません。
クレジットカード会社への賠償金の支払いは漏洩したかもしれないカード1件につき8,000円程度
フォレンジックの後はカード会社への損害賠償が発生します。漏洩したかもしれないカード情報の件数×8,000円程度です。つまり、1,000件だったら8,000,000円!!!
会社が倒産しかねない金額なので、くれぐれも御用心を…