$user_lang->userLang20180310000323036

【重要】サイト改ざんによるクレジットカード流出被害が増加しています。

by THEVOS posted Dec 06, 2019 Views 41 Likes 0 Replies 0
?

Shortcut

PrevPrev Article

NextNext Article

Larger Font Smaller Font Up Down Go comment Print Attachment Update Delete
?

Shortcut

PrevPrev Article

NextNext Article

Larger Font Smaller Font Up Down Go comment Print Attachment Update Delete
Extra Form
「フォームジャッキング」の画像検索結果


■ 必ずご確認いただき、対策をお願いたします。

最近、EC サイトにおいて、決済画面を改ざんされてクレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が日本国内で増加しています。

EC-CUBE では特に 2 系をご利用の店舗で被害が複数報告されておりますので、該当バージョンをお使いの店舗様は以下をお読みいただき、必ず対策を行っていただきますようお願いいたします。

参考記事


■EC-CUBE で発生している事象と対策に関して

現在、特に EC-CUBE 2 系で発生している事象として、以下のセキュリティ対策が十分に行われていない場合において EC-CUBE のファイルを改ざんされ、攻撃を受ける可能性がございます。

  • 正しいインストール環境設定
  • EC-CUBE の既知の脆弱性修正対策
  • 利用しているサーバーのセキュリティ対策
  • EC サイトの管理画面のセキュリティ対策
  • 同じ環境に設置されている他の CMS のセキュリティ対策

以下、具体的なチェック項目と対策方法をお読みになり必要な対策をお願いいたします。

また、ご自身でチェックや対策が行えない場合や、本メールの内容がご理解いただけない場合は、周辺の詳しい方や、サイト構築を担当された方にご相談ください。周辺にご相談いただける方がいらっしゃらない場合は、全国の EC-CUBE インテグレートパートナーへもご相談いただけます。

本件に関しましては、セキュリティ対策の専門企業である、SHIFT SECURITY (無償診断)の簡易診断も提供を予定しております。

詳しくは、本メールの「関連リンク」より各リンク先ページをご覧ください。

また、2 系をお使いで 4 系への移行を御検討の方には、EC-CUBE 4 系をクラウド環境で利用できる 「ec-cube.co」を半年間無償で提供させていただきますので、ご利用くださいませ。


■ 対策前の現状確認チェック対策前のチェック具体的なチェック事項と対策方法

まず、既に「改ざん」が行われていないかをご確認ください。

下記のような 「改ざん」の疑いが見つかった場合は、直ちにサイトを停止し、詳しい方にご相談ください。

  • 購入確認画面等に覚えのない JavaScript が設置せれていないか
  • 購入フローのクレジットカード入力画面が不正な URL になっていないか


■具体的なチェック事項と対策方法

  1. EC-CUBE の公開されるべきでないディレクトリが公開されてしまっていないか
    EC-CUBE の /data ディレクトリや /install といったディレクトリが運用環境で公開されている場合、そこから管理画面へのアクセス情報やバックアップファイル、アップロードした CSV ファイルなどが流出する恐れがあります。
    インストール完了後の/install の削除、/data ディレクトリへのアクセス制限を行なってください。
    参考) https://nob-log.info/2013/05/25/wrong-installation-eccube-is-dangerous/
    /data ディレクトリのアクセス拒否設定については、設定変更方法資料「4. Data ディレクトリへのアクセスを拒否する方法」をご確認ください。

  2. 過去 EC-CUBE より発表された脆弱性が修正されているか
    過去の脆弱性を突かれてサイト改ざん等、攻撃されるケースが発生しております。お使いのEC-CUBE のバージョンを管理画面よりご確認の上、過去発表された脆弱性のご確認及び、確実に修正されているかをご確認ください。
    https://www.ec-cube.net/info/weakness/

  3. 管理画面の URL が /admin/ など推測されやすい URL になっていないか
    管理画面の URL を変更せず /admin/ のままで運用していた場合、攻撃者が管理画面にアクセスしやすい状況になっておりますので、 早急に変更をお願いします。
    EC-CUBE2.11 以降のバージョンでは、管理画面の URL がインストール時やインストール後の管理画面から変更が可能です。
    管理画面の URL を変更する方法は、設定変更方法資料「2. 管理画面の URL を変更する方法」をご確認ください。

  4. 管理画面へアクセス制限が行われているか
    管理画面のログイン画面に外部から容易にアクセスできる状態ですと、パスワードの総当たり攻撃等で、管理画面にログインされる可能性がございます。
    特に、管理画面 URL が/admin/で外部からのアクセスもできる状態ですと、攻撃されやすい状態でございますので、早急に管理画面に部外者がアクセスできないよう対策をお願いします。
    ・IP 制限をかける(外部からは全くアクセスできない状態にする)
    ・Basic 認証をかける(管理画面にパスワードをかける)
    管理画面へのアクセス制限については、設定変更方法資料「3. 管理画面へのアクセス制限」をご確認ください。

  5. 5. 御利用のサーバーや利用している CMS 等のセキュリティが担保されているか
    御利用のサーバーの OS やミドルウェアの脆弱性が対応されているかサーバー管理者にご確認ください。
    WordPress や Drupal などの CMS やその他のファイル操作やデータベースへの接続を行うアプリケーションをインストールしている場合は、各アプリケーションやプラグインの脆弱性が対応されていることもあわせてご確認ください。


■ ご自身で対策が難しい場合

対策がご自身ではできない場合は、オンライン無料相談へご相談ください。


■関連リンク

  • 設定変更資料: https://www.ec-cube.net/user_data/news/201905/security_setup.pdf
  • 対策がご自分ではできない場合のご相談先   オンライン無料相談
  • EC-CUBE 最新版へ移行をご検討の方へ
    THEVOS レンタルサーバー(SHOPスタンダード)1年無償提供:オンライン無料相談


■ 最後に

今回の問題解決にあたり、国内最大規模のオープンソースコミュニティ、株式会社イーシーキューブ(EC-CUBE)とも連携をとりながら積極的に情報発信や対策を実施しております。今後も、THEVOSの EC-CUBE TMSサービスをご利用の店舗様、並びに顧客様が安心して運営、ビジネスをしていただけるよう、鋭意対応してまいります。


Facebook [en]Comment 


  1. 06Dec

    【重要】サイト改ざんによるクレジットカード流出被害が増加しています。

    ■ 必ずご確認いただき、対策をお願いたします。 最近、EC サイトにおいて、決済画面を改ざんされてクレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が日本国内で増加しています。 EC-CUBE では特に 2 系をご利用の店舗で被害が複数...
    Date2019.12.06 Category$user_lang->userLang20180310000323036 ByTHEVOS Reply0 Views41 file
    Read More
  2. [구글 양식 활용] 전화번호 입력 폼 만들기 07Oct

    [구글 양식 활용] 전화번호 입력 폼 만들기

    This is a secret article.
    Date2019.10.07 Category$user_lang->userLang20180213192209093 ByTheVOS Reply0 Views0 secret
    Read More
  3. 16Aug

    8/20未明から早朝にかけての1分〜3分程度のサーバー停止を伴うシステムメンテナンスのお知らせ

    8/20未明から早朝にかけての1分〜3分程度のサーバー停止を伴うシステムメンテナンスのお知らせ 平素はTHEVOSをご利用いただきありがとうございます。 THEVOSの「ホームページ無料制作 TMS(Total Management Service)」をご利用中のお客様にメンテナンスのご案...
    Date2019.08.16 Category$user_lang->userLang20180310000323036 ByTheVOS Reply0 Views101 file
    Read More
  4. 14Mar

    웹사이트의 레이아웃

    웹사이트는 많은 정보를 담고 있습니다. 저마다 각양각색의 콘텐츠를 다양한 형태의 레이아웃으로 배치합니다. 레이아웃이란 디자인 ·광고 ·편집에서 문자 ·그림 ·기호 ·사진 등의 각 구성요소를 제한된 공간 안에 효과적으로 배열하는 일(출처 : 두산백과)이...
    Date2019.03.14 CategoryWeb Design ByTheVOS Reply0 Views116 file
    Read More
  5. スクロールに反応するjQueryプラグインコレクション10 24Feb

    スクロールに反応するjQueryプラグインコレクション10

    This is a secret article.
    Date2019.02.24 Category$user_lang->userLang20180310000416044 ByTheVOS Reply0 Views0 secret
    Read More
  6. 11Dec

    검색엔진 최적화 방법 - Canonical 태그의 중요성과 활용 방법

    Canonical 태그에 대하여 알아보고 어떻게 사용하며 SEO에 어떤 장점이 있는지 함께 알아봅니다. 먼저 Canonical 태그는 무엇일까요? # Canonical 태그란? Canonical 태그는 페이지의 헤더에 삽입하는 코드로 현재의 웹페이지의 대표 url주소를 검색엔진에 알...
    Date2018.12.11 Category$user_lang->userLang20180213192209093 ByTheVOS Reply0 Views98 file
    Read More
  7. 23Nov

    THEVOSでWEBシステム開発に使用されているPHPバージョンのご案内

    PHPバージョンの詳細は以下です。 PHP7.2.6 / PHP7.1.18 / PHP7.0.30 現在公式にサポートされているバージョンです。 PHP7 は PHP5 と比較してパフォーマンスが大幅に強化されています。 ※ 現在使用しているPHPのバージョンが5.Xのバージョンの以下の開発を依...
    Date2018.11.23 Category$user_lang->userLang20180310000323036 ByTheVOS Reply0 Views290 file
    Read More
  8. 01Nov

    스포카, ‘스포카 한 산스’ 글꼴 무료 배포

    스포카가 오는 한글날을 기념해 자체 개발한 글꼴 ‘스포카 한 산스(Spoqa Han Sans)’를 출시·배포한다고 10월8일 밝혔다. 스포카 한 산스는 구글과 어도비가 합작 개발한 ‘본고딕’ 글꼴을 수정해 개발됐다. 본고딕에 포함된 영문, 숫자, 특수문자의 60자 안팎...
    Date2018.11.01 Category$user_lang->userLang20180310000416044 ByTheVOS Reply0 Views183 file
    Read More
  9. 11Oct

    [안랩] 다수의 보안 프로그램 무력화하는 악성코드 유포 중... 주의!

    출처 https://www.ahnlab.com/kr/site/securityi...ontent=741 V3 Lite 등 보안 프로그램을 무력화하는 악성코드가 확인됐다. 특히 이번에 발견된 악성코드는 윈도우 운영체제에 기본으로 제공되는 ‘윈도우 디펜더(Windows Defender)’도 무력화하는 것으로 확...
    Date2018.10.11 Category$user_lang->userLang20180309235346060 ByTheVOS Reply0 Views150 file
    Read More
  10. 24Apr

    피해자거나 공범(?)이거나, USB 악성코드

    대학생「J」은 미처 출력하지 못한 자료를 USB에 담아 서둘러 학교 앞 인쇄소를 찾았다. 다행히 출력한 자료와 함께 수업 시간에 늦지 않게 강의실에 도착한 그녀는 뿌듯한 마음으로 노트북을 켜고 USB를 연결했다가 깜짝 놀랐다. USB 에 있던 파일이 전부 사...
    Date2018.04.24 Category$user_lang->userLang20180309235346060 ByTheVOS Reply0 Views284 file
    Read More
  11. 31Mar

    サイトをオープンしました。

    まだ正常なオープンはありません。 ホームページが完成していないが、顧客との連絡をご利用になれするためにオープンしました。 お客様の作業が押されており、当社のホームページを飾るのはちょっと先送りておくことにしました。 内容を着実に詰めていきます。
    Date2018.03.31 Category$user_lang->userLang20180310000323036 ByTheVOS Reply0 Views151 file
    Read More
  12. 27Mar

    「DreamBot(ドリームボット)」ウィルス感染による不正送金被害にご注意ください。

    最近、 「DreamBot(ドリームボット)」ウィルスに感染したパソコン等によるインターネットバンキングの不正送金被害 が全国的に広がっています。 このウィルスに感染すると、お客様がインターネットバンキングにログインする際に、正規の画面と全く区別がつか...
    Date2018.03.27 Category$user_lang->userLang20180310000416044 ByTheVOS Reply0 Views240 file
    Read More
  13. 15Mar

    株式会社オーセル無料制作サービスを開始します。

    ルーバディ製品をロンチングし、ホームページの制作と管理を依頼しました。 14日デザインの決定をし、15日から作業を開始します。
    Date2018.03.15 Category$user_lang->userLang20180315024137026 ByTheVOS Reply0 Views138 file
    Read More
  14. 10Mar

    無料SSLサポートサービスが追加されました。

    Let's Encrypt Wildcard SSLサポートします。 Total Management Serviceに無料SSLのサポートサービスが追加されました。
    Date2018.03.10 Category$user_lang->userLang20180309235346060 ByTheVOS Reply0 Views152 file
    Read More
  15. 04Feb

    CTA 「Call to Action」とは何でしょうか?

    「Call to Action」とは何でしょうか? コールトゥアクション(Call to Action)とは、ホームページの訪問者に何らかの行為を勧めたり誘導するためのツールや技法を意味する。「転換率」を高める重要な役割を果たしている。 下の画像で赤丸で示した要素がコー...
    Date2018.02.04 Category$user_lang->userLang20180213192209093 ByTheVOS Reply0 Views159 file
    Read More
List
Board Pagination Prev 1 Next
/ 1