著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。
2019年5月第2週の注目ニュースは3件。最初は、ECサイト向けソフトを開発する企業が出した注意喚起を取り上げる。
ECサイトからクレジットカード情報が漏洩、管理ソフトのファイル改ざんが原因(5月9日)
ECサイト向けのコンテンツ管理システム「EC-CUBE」を開発するイーシーキューブは、ECサイトが改ざんされ、クレジットカード情報が漏洩する被害が相次いでいると注意喚起を出した。注意喚起を出したのは、複数の報道機関が同日、EC-CUBEを使ったECサイトでクレジットカード情報が漏洩していると報じたからだと考えられる。
同社は注意喚起の中で、EC-CUBEを利用したECサイトで情報漏洩が発生したことを認めた。ただし、ユーザーのセキュリティー対策が不十分な場合に被害は発生しているとしている。
セキュリティー対策が不十分だと、EC-CUBEのファイルが改ざんされる恐れがあるという。ユーザーには、十分な対策を施した上で、入力フォームにJavaScriptが設置されたり、購入フローに不正なURLが指定されたりしていないかを確認するよう、求めている。
ECサイトからのクレジットカード情報の窃取は、入力フォームを改ざんする手法が一般的だったが、最近は別のサイトに移動させる手法が増えている。2018年夏以降、少なくとも7件の被害が公表されている。
ECサイト内にクレジットカード情報が残らないように、決済代行業者のWebサーバーでクレジットカード情報を入力するECサイトが増えている。これが、別サイトに移動させる手法が増えている一因になっているのだろう。
https://www.ec-cube.net/user_data/news/201905/security_notice.pdf
