株式会社SHIFT SECURITY(本社:東京都港区、代表取締役:松野真一、以下SHIFT SECURITY)は、「EC-CUBE」を運営する株式会社イーシーキューブより発表された「クロスサイトスクリプティング(XSS)の脆弱性の悪用によるクレジットカード情報の流出確認」をうけ、これまで実施していたECサイトの脆弱性診断を無償で請け負う「EC-CUBE向け無償セキュリティ診断」の診断範囲を拡大いたしました。運営するECサイトに十分なセキュリティ対策を行うことが難しい企業のセキュリティ向上に貢献します。
クレジットカード情報が抜き取られるクロスサイトスクリプティング(XSS)のセキュリティ被害がオープンソースである「EC-CUBE4.0系」を利用した一部ECサイトにおいて発生しています。これらの被害を防ぐためには、ECサイトの運営者が独自に自社サイトの脆弱性を診断するなどのセキュリティ対策を実施する必要があります。しかし、対策を行う場合、一般的には外部のセキュリティ企業に脆弱性診断サービス(以下脆弱性診断)を委託するなどの必要があり、その導入・運用にかかるコストや人員不足から十分な対策を取れない場合もあります。
SHIFT SECURITYは、「笑顔をつくる」という理念のもと、脆弱性診断の専門会社として「コストがかかるためセキュリティ対策に取り組めない企業も救うことは社会的役割の一つである」と定め、2019年5月から現在に至るまで、約150社以上の「EC-CUBE」を利用したECサイトに対して無償で脆弱性診断を行っています。
この度、発覚したクロスサイトスクリプティング(XSS)の脆弱性においても同様に、コストの問題や人員不足、専門知識の不足でセキュリティ対策ができないことによるクレジットカード情報流出の被害拡大を防ぐべく、従来のEC-CUBE向け無償セキュリティ診断に、さらに「フォレンジック調査(攻撃の痕跡確認)」を加えた無償セキュリティ診断の提供を開始しました。
「EC-CUBE※1」をオープンソースとして提供する株式会社イーシーキューブ(本社:大阪府大阪市北区、代表取締役社長:金 陽信、以下 イーシーキューブ)もまた、ユーザーに対する対策案を提供し注意喚起を促しています(※2)。これらの対策を自社内で行うことが難しいユーザーのみなさまは、SHIFT SECURITYの「EC-CUBE向け無償セキュリティ診断」をご依頼ください。
※1 「EC-CUBE(イーシーキューブ)」とは、株式会社イーシーキューブが開発・配布をしている、無料で利用・改変できるEC構築「オープンソース」です。
※2 「EC-CUBE」ニュースページ:【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性発覚と対応のお願い(2021/5/10 9:00 更新)(2021/05/07)
無償セキュリティ診断では「脆弱性診断」と「フォレンジック調査(攻撃の痕跡確認)」の二種類をご用意しています。
◇脆弱性診断
過去のEC-CUBEの脆弱性に加え、今回のクロスサイトスクリプティング(XSS)の脆弱性が確認されているEC-CUBE「4.0.0〜4.0.5」のバージョンがサイトに活用されていないかを診断いたします。これにより運営サイトがクロスサイトスクリプティング(XSS)における脆弱性対象であるかどうか判断が可能です。診断にはEC-CUBEのURLが必要となります。
◇フォレンジック調査(攻撃の痕跡確認)
今回、確認されたクロスサイトスクリプティング(XSS)の脆弱性により攻撃をうけていたかどうか「攻撃の痕跡有無」を調査いたします。調査には「EC-CUBEのアクセスログのご提供」が必要となります。
無償セキュリティ診断は最短翌営業日までにメールにて診断結果をご報告いたします。
・正式名称:EC-CUBE向け無償セキュリティ診断
・開始時期:2021年5月から提供開始
・診断範囲:EC-CUBEに特化したクレジットカード流出被害に関連する脆弱性
・診断フロー:①フォームから申し込み → ②診断 → ③メールにて結果報告 → ④調査(任意)
SHIFTSECURITYは、これからもさまざまな活動を通じてソフトウェアを誰もが安心・安全に使える社会の実現に貢献していきます。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ