情報処理推進機構から下記の記事が出ていて、青ざめる。
ECサイト構築で多く利用されている「EC-CUBE」を用いたウェブサイトでの情報漏えい被害の増加について
クレジットカード番号が、抜かれるニュースは聞いてました(「クレジットカード情報窃取の手口に注意」日本サイバー犯罪対策センターより)が、なんとなく対岸の火事的に思っていたけど、EC-CUBE2系。がっつり関係ありました。
その後、慌てていろんなサイトを見ました。
まず、開発元EC-CUBE
【重要】クレジットカード流出被害が増加しています。EC-CUBEご利用店舗のセキュリティチェックをお願いいたします。
「EC-CUBE クレジットカード 改竄」などで検索してひっかかった技術者さんのページ
ついでに「EC-CUBE バージョンアップ」で。もう3系が出たときに、あまりに違うしさっさと4系も出たので、EC-CUBEのバージョンアップは辞めよう……必要なら、レンタルカートにしようと思ってはいるのですが。
EC-CUBEバージョンアップ作業を代行して行います。 ※ここで2.13系のサポート期限が「2024年6月30日」ということをチェックしました。
EC-CUBE2系の脆弱性ではなくて、EC-CUBE2系の設置の仕方と運用がまずいということがわかった時点で、すこし落ち着きました。脆弱性とかだったらまた大変じゃないですか、年の瀬に!
・管理画面が、https://なんちゃら/admin/のまま使ってたらダメ
→ IP制限かbasic認証を
・dataフォルダがドキュメントルート(サイトのデータ置いてあるフォルダ以下)にあったらダメ
→ どうしてもドキュメントルートに置く必要があるなら、htaccessで見れないようにしておこうね。
→ ここで初めて知ったんですけど、「log」とかの中身、見えちゃうんですね。試してないけど。
・IDとパスワードがわかりやすいとダメ
→ 昔はID「admin」とか平気でしてたけど、今はもう本当に震える。
・httpsにしてください
あたりが、最低限しなきゃならないことでしょうか。
管理画面も「admin」じゃなくしていても、IP制限かけられるならかけるのが無難。でも、固定IPじゃないとIP変わるので、固定IPにしている方以外はどうするのかなぁとも思う。(固定IPとかについては「グローバルIPアドレスの変更方法と固定IPアドレス」を読んでみた)
ちなみに、
「dataフォルダにアクセスできなくする方法」→「EC-CUBEの間違ったインストール方法がとても危ないのです」
ある一定のバージョン以上だとそもそもdataに「.htaccess」で入っている気がします(入れた覚えがないのにあったから)
を参考にさせていただきました。
とりあえず、
EC-CUBEの開発元が出してるセキュリティチェックを一つ一つチェックして、「はい」ではないところの対応をして……。という感じでしょうか。
管理画面の管理、IDとパスワードの管理、基本的なことなんですけど、とても重要です。本当、怖い……。
早く、makeshopとかに移行してしまいたいです……。
※EC-CUBE2系からMakeShopへの移行については、また今度。会員情報の移行が思ったよりもスムーズに行けそうなのがありがたいデス。
コメントを残す