【社長日記】EC-CUBEの脆弱性

今週7/29にEC-CUBE公式サイトで、EC-CUBE4系の脆弱性についての発表がされました。「EC-CUBE4系の脆弱性についての発表」という言葉だけを聞くと、なんだかイメージ悪くて信頼性に問題のある出来事のように思えるかもしれませんが、実際にはとても健全でありがたいことです。ちなみに今回の発表は危険度レベル「低」の脆弱性なので、即時に悪用できるようなものではありません。

脆弱性の存在そのものは決してうれしいことではないのですが、人間が作るもので不具合ゼロのものはありませんし、攻撃者がいる限り必ず新しい攻撃方法が考え出されます。ですから、脆弱性の報告が全くないということが、脆弱性が全くないことを示唆するわけではありません。場合によっては使っている人が少ないから危険な脆弱性に誰も気づいていないだけ、という可能性もあります。そのように考えると、むしろ、利用者が多く、脆弱性が発見されて、その対策がなされているという実績があるEC-CUBEには健全な印象があります。

EC-CUBEよりもっと多くの人が使っているWindowsでは毎月のように脆弱性が見つかり、脆弱性対策のアップデートがなされます。それはWindowsというOSの信頼性を損なうものではなく、逆に安心感につながっていると思います。重要なことは必ずWindowsアップデートを行うことです。ちなみにWindowsのセキュリティ更新プログラムは毎月第二火曜日ですので、そのアップデートはまめに適用することをお勧めします。
https://learn.microsoft.com/ja-jp/windows/deployment/update/release-cycle

この「脆弱性」という言葉なんですが、「ぜいじゃくせい」と読みます。言葉そのものがちょっと難しいですが、もろ(脆)くて弱くて攻撃されると壊れる可能性があるという意味です。

脆弱性とはどんなものか、身近なところで、住居の防犯に例えてみたいと思います。玄関の鍵を施錠するときに回すつまみ「サムターン」をイメージしてみてください。玄関のドアにドリルで穴を開け、隙間から針金を差し込んで、ドアの内側の「サムターン」を回すという、犯罪の手口が話題になったことがありました。現在ではよく知られた手口なので、針金を差し込まれてもサムターンが回せないようにするためのプラスチックのカバーなどの対策グッズが販売されています。針金で回せるままの状態が「脆弱性」です。ドアが比較的簡単に穴を開けることができ、サムターンの位置や形状が容易に想像できるとするなら、サムターン回しでの被害に遭う可能性があります。

サムターンをガードする

そういう形状のサムターンは、その犯罪の手口が話題になるよりもずっと前から住居の玄関に取り付けられていたと思います。脆弱性が発見されるというのは、既存のサムターンでは条件が整うと外から鍵を開ける方法があるということが分かった、ということです。その場合、その種類のドアを作ったメーカーや施工業者は信頼できないとは思わないですよね。むしろ、なるべく早めにカバーを付けるなどの対策を実施すると思います。長期的にはドアメーカーは針金をひっかけて回しにくいような形状のサムターンに改良したりすると思います。ソフトウェアの脆弱性もそれとほとんど同じです。

泥棒に悪用されるから、そういう情報はオープンにしないほうがいいという意見もなくはないと思いますが、実際に悪用されやすいようなレベル高の脆弱性はなるべく早めに知らせて対策を急いだ方がいいのではないでしょうか。また、泥棒がやってきてその脆弱性を突かない限りは被害が発生するわけではありませんので、過剰に不安に感じる必要はなく、粛々と可能な対策を実施するしかありません。そのような点はソフトウェアの脆弱性についても同様です。

ちなみに、EC-CUBEの過去に発表された脆弱性については以下のサイトで公開されています。
https://www.ec-cube.net/info/weakness/

EC-CUBEのこのページは10年以上前から存在しています。これまで丁寧に対応されて来ていることがよくわかります。最近はほとんどが危険度「低」です。「低」のものは、さまざまな条件が重ならないと悪用できないような脆弱性です。一方で危険度「高」のものはかなりの確度で悪用できるものなので即対応が必要です。10年前ごろは危険度「高」もけっこうな頻度で発見されていました。EC-CUBEをずっと見てきた立場としては、バージョンが上がるごとに品質が上がってきて、それによって危険な脆弱性は減ってきている印象があります。この脆弱性は「低」だとしても対策として提供されるアップデートはなるべく早めに適用することをお勧めします。このような脆弱性はEC-CUBEのメーリングリストでも案内されますので、利用者の方は登録されることをお勧めします。
https://www.ec-cube.net/mail/

脆弱性はEC-CUBEだけでなく、ありとあらゆるソフトウェアに存在し得るものですので、各種アプリの脆弱性情報を配信してくれるjpcertの脆弱性情報RSSを購読することもお勧めです。当社ではこれをSlackに流し込んで表示しています。
https://www.jpcert.or.jp/

当社ではEC-CUBEによるECサイトの保守や運用支援も対応しています。自力でアップデートをしてくことが難しいなら、当社のようなパートナーと保守契約を結ぶことをお勧めします。検討される場合は、お気軽にお問い合せください。

お問い合わせ | 株式会社システムフレンド | SYSTEM FRIEND INC.