System development

EC-CUBE運営に欠かせないセキュリティ・脆弱性対策

s-Dollarphotoclub_90165323

EC-CUBEはEC向けオープンソースとして国内で最も多く利用されています。無料でダウンロードでき、自由自在にカスタマイズが可能で、様々なプラグインが利用できる便利なパッケージです。
しかし残念なことに、ショッピング利用者が他の利用者の情報を閲覧したり、情報を改竄されたりといった事件が年に数回は報告されています。
ネットショップ系サイトの情報漏えい・改ざん、管理者情報の盗難等の被害が相次いでいます。
そのため、開発元のロックオンも対策として様々なパッチを配布しています。

s-zeijaku
脆弱性リスト / ECサイト構築・リニューアルは「ECオープンプラットフォームEC-CUBE」

s-jvndb
JVNDB-2013-000106 – JVN iPedia – 脆弱性対策情報データベース

サイバーテロリストや悪意のあるユーザによって顧客データが盗まれたら、損害賠償をはじめ色々なリスクに晒されてしまいます。
では、そのような被害に合わない為にどのような対策を取ればよいでしょうか。

バージョンを最新に保つ

色々なカスタマイズを繰り返し、追加機能も多く実装していて、ついついアップデートを忘れてしまっていた。というケースは多いようです。
また、定期的に最新版にアップデートする計画を立てていても、予想される工数が大きい為、結果修正パッチのみをあてる、といったケースもよくあります。ですが、最低でも2年に1回はバージョンを最新に上げましょう。
または、大きなバージョンアップになる程作業は難しくなっていきますので、小さなバージョンアップを徐々に進めていく方法もよいと思います。

dataフォルダはドキュメントディレクトリ以下の階層に設置しない

サイトセキュリティといいますと、データベースサーバがフロントサーバ以外からもアクセスできたり、sshやftp等のPort番号がデフォルトのままだったり、色々なチェックが必要です。
EC-CUBE独自の部分では、フォルダの階層分けが甘かった、というケースがよくあります。

稼動させているサーバ環境をちょっとチェックしてみて、dataフォルダがドキュメントディレクトリ以下の階層にあった場合、ブラウザからアクセスされるリスクが高まります。
ミドルウエアの設定によっては、管理者ID、サーバのパス構造、アクセスしているユーザのIP、実装しているプラグイン等の情報がログファイルから簡単に盗まれてしまいます。できるだけ早く上の階層に移動しましょう。

単純にパッチを当てるだけでは不具合が発生する可能性あり

SQLインジェクション、クロスサイトスクリプティング、個人情報の改ざんや漏洩等、様々なセキュリティホールが見つかり、それぞれパッチが配布されていますが、カスタマイズ内容によっては安易に当てると不具合が起こる可能性があります。
検証環境でパッチを当て、不具合があればコード自体を修正し、ユーザに支障が出ないよう、本番へ慎重に移行しなければなりません。

EC-CUBEバージョン3のセキュリティについて

2015年夏頃にリリースされたバージョン3については、多くの企業がセキュリティ面に注目していたようです。
開発元のロックオンも、セキュリティ対策は重要視しており、セキュリティツールを使用してチェックを繰り返し、スペシャリストが独自に精査してからリリースされたとのこと。
そのため、現状の脆弱性への対策はやや安心ですが、新しい脆弱性については油断はできません。

一方で、3系はカスタマイズをせず、ほとんどの機能をプラグインとして実装できる設計です。その分対応が楽になるかもしれません。

公式アカウントで最新情報をお届け中!
気軽にいいね!やフォローをお願いします。

Related Posts - 関連記事Related Posts - 関連記事



Copyright (c) Centillion System All rights reserved