ECサイトのセキュリティについて

朝山です。今週はセキュリティ問題が何かと話題になっています。

Wifiレンタル屋さんの11万件のカード情報流出、某デパートの個人情報8000件の流出というニュースがありました。

EC-CUBEでも脆弱性対応のみのバージョン2.12.4がリリースされました。
http://www.ec-cube.net/info/weakness/

下北沢で時々開催されるEC-CUBE部の昨日のテーマが脆弱性と言うことだったので、参加してセキュリティについてエバンジェリストの川口さんたちと情報交換しました。

今回の４件も１件ずつ内容を見てみましたが、「高」レベルはちょっとした知識で悪用できてしまいます。実際、その場でテストサイトに対してアクセスしてみて検証しました。一方「中」で何か仕掛けるには、いくつかの条件がそろう前提で創意工夫を凝らさないと仕掛けることが難しそうです。ということで「高」と判断されているものは、確実にサイトを修正する必要があります。

心配なのは作るときだけ制作会社に依頼し、その後は業者と何の連絡も取っていないサイトです。自分でEC-CUBEのメールマガジン等を購読し、自分でパッチを当てることができる人員がいない場合は、いくらかサポート費用を払ってでも、信頼できる制作会社とつながっておくこともお勧めしたいと思います。弊社にもサポートサービスがありまして、脆弱性パッチの適用もやっております。リマインダーの脆弱性（高）は弊社で発見したものなので、これについては発見次第すぐにサポート対象のECサイトには適用しました。発表直後の準ゼロデイ攻撃を避けるためには、迅速な修正作業が重要です。

なお、今までの「高」レベルも管理系へのアクセス制限が設定されていれば、直接攻撃は防げるケースが多かったと思われます。管理画面からIP制限も設定できるようになっているので、できれば固定IPを取って、IPで制限することをぜひともお勧めしたいです。IP制限がで着ない場合、最低でもベーシック認証はかけるべきです。それすらやっていないということは、セキュリティについて何もしてないことを宣言しちゃっているようなものです。

EC-CUBE以外の商用のプロダクトでも、セキュリティの対策は放置されているものも多いよね、ということはオフレコで話題になりました。そういう点で、EC-CUBEは多くの人の目があって、「中」や「低」のレベルでも脆弱性が潰されているという点は良い点だと思います。もちろん、善意の方が見つけてくださっている限りは良いのですが、攻撃者もソースコードを入手可能なわけです。脆弱性パッチが出ると、脆弱性の情報すら入手できます。

くどいようなんですが、最後にまとめますと要点は以下です。

・「高」の脆弱性情報がでたら至急サイトを修正しましょう。
・脆弱性情報がでたら修正する担当者を日頃から決めておきましょう。
・管理画面へのアクセス制限は必ず設定しましょう。

追記

今回の脆弱性については発見者の方がそれぞれ記事を書かれています。攻撃について示唆せずに危険性を説明するのはかなり難しそうです。
http://bogus.jp/wp/?p=1402
http://securitymemo.blog.fc2.com/blog-entry-17.html
 

もう１つの脆弱性はウチが発見したので簡単に危険を説明しますと、リマインダーで何等かのチャレンジをする余地があるということなんです。同じく「高」レベルの「管理画面の不適切な認証」の件のように、ログインされてしまうといった危険はありません。しかし実害を出せる方法がありますし、発生条件などもありませんので「高」レベルになっています。
ちょっと話がそれますが、リマインダーの秘密の質問をカットして欲しいというリクエストをよくいただくのですが、いたずら防止と言う意味ではやめたほうがよいです。リマインダーやログインの部分はできればキャプチャ（ぐにゃぐちゃ文字を表示して入力させるもの）を仕込んでおくとよいと思います。チャレンジされ続ければいつかは必ず破れるわけですから、オートでのチャレンジを防止するべきです。