本日、EC-CUBEの脆弱性の発表と、脆弱性対応他セキュリティ機能を強化された新バージョンがリリースされました。
https://www.ec-cube.net/news/detail.php?news_id=435
当社のメンバーも2名ほどデバッグに協力させてもらっています。上記ページに掲載されているIDはほぼ本名wなのでご存知方は見ていただければわかると思います。
クレジットカード漏洩のニュースを見ると、EC-CUBEかな?と思ってなるべくそのサイトを見るようにしています。一時期はEC-CUBEサイトでの事件が多かったように思います。ですが最近はEC-CUBEではないサイトでの事件が多いように思います。今月、事故のあったサイトのご利用ガイドを見ると「データはASPに預けてあるので安心です」といった書き方になっていまして、割と有名なASPでも事故はあるのだなと思いました。ただ、そのASPの脆弱性情報も見当たらないので、管理パスワードを取られるなどの運用上のミスでカード情報窃取用のコードを仕込まれてしまったとか、そういう原因なのかもしれません。
EC-CUBEの良いところは脆弱性情報が分かりやすく通知されることにあります。これまで見つかった全ての脆弱性を見ることができるので、どれくらい危なくてどれくらい安全か、ある程度判断できます。ASPの場合、運営会社が修正してくれるので、そういう情報を公開しなくても困らないのかもしれませんが、これまでどのような対応をしてくれたのかはブラックボックスです。
EC-CUBEの脆弱性はIPAなどを通して通知されます。当社の場合はJVNRSSをSLACKに流し込んで、常に監視しています。たとえばこんな感じです↓
パッチがリリースされると、サポートをしているECサイトに適用するために、ECチームは緊急体制になります。今回は危険度がそれほど高くはないですが、危険度が高いときは緊張感が走ります。EC-CUBEがパッチを出しても、それを適用しなければ意味がありません。アナウンスを見たらすぐにパッチを当てるようにしましょう。
EC-CUBEのここ数年のセキュリティへの取り組みには強い意志を感じます。詳細は公式ページを見ていただくのがよいと思います。
https://www.ec-cube.net/info/security/