OCNセキュリティ対策(個人・中小企業のお客さま)

 

最新セキュリティ情報

ショッピングサイト構築システム「EC-CUBE」利用事業者は至急対応を、既に悪用が確認されている脆弱性発覚
[ 2021/05/12 ]

独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は5月10日、イーシーキューブが提供するオープンソースのショッピングサイト構築システム「EC-CUBE」に、深刻な脆弱性が存在するとして注意を呼びかけました。開発元のイーシーキューブも、緊急対応のためのパッチを公開しています。

EC-CUBEのバージョン4.0.0から4.0.5までには、「クロスサイトスクリプティング(XSS)の脆弱性」(CVE-2021-20717)が存在し、「EC-CUBE」の管理画面において、任意のスクリプトを実行させることができます。この脆弱性が悪用された場合には、ECサイトへの不正アクセスや個人情報の窃取などが行われる可能性があります。

関連リンク:
クロスサイトスクリプティング(XSS)とは?|トレンドマイクロ

イーシーキューブによれば、すでに本脆弱性を悪用した攻撃が複数発生しており、クレジットカード情報が流出した事例も確認されています。利用中の事業者は早急なパッチの適用やバージョンアップを行ってください。
ただし、不審なデータを管理画面から参照すると攻撃が成立する可能性があるとし、不審なデータを捜索する場合は、管理画面から確認せず、データベースや受注メールから調査するよう、イーシーキューブは推奨しています。具体的な方法はイーシーキューブが公開している対応策を参照してください。 なお、クラウド版の「ec-cube.co」はパッチ適用済みとのことです。

2019年にもEC-CUBEの脆弱性悪用によって正規サイトが不正に改ざんされ、複数のECサイトからクレジットカード情報が多数漏えいしました。本件に限らずECサイトの管理者はシステムの脆弱性を放置しないよう適切な管理体制を整えるとともに、脆弱性を悪用した攻撃をブロックするセキュリティ製品を活用し、不正な改ざんが行われないよう対策を行ってください。

また一般利用者は、日頃からクレジットカードの利用履歴確認を習慣化するとともに、不正なスクリプトを含む不正サイトにアクセスしてしまわないよう、セキュリティ製品をインストールし、最新の状態に保って利用しましょう。


Copyright © 2023 Trend Micro Incorporated. All rights reserved.

目的からサービスを探す
「ぴったりナビ」

おすすめセキュリティ製品

危険なサイトへのアクセスを防ぎ
SNSのプライバシーを守る

ウイルス対策から
パスワード安全管理まで

迷惑メールフィルターが
Webメールにも対応

特集

その他のお取り扱い製品

Internet SagiWall for マルチデバイス

FFRI yarai Home and Business Edition


OCNセキュリティトップ

危険なサイトへのアクセスを防ぎ
SNSのプライバシーを守る

ウイルス対策から
パスワード安全管理まで

迷惑メールフィルターが
Webメールにも対応

特集

目的からサービスを探す
「ぴったりナビ」

おすすめセキュリティ製品

製品ピックアップ

特集