日本経済新聞で「クレジット情報流出倍増34万件」という記事がありました。流出したサイトの多くは「EC-CUBE」というソフトで構築されているところが多いと紹介されていました。オリジナリティを実現できる本格的なネットショップを構築できるソフトとして提供されています。すでに全国で35000店舗以上が利用しているそうです。
EC-CUBEの公式サイトはこちらになります。
こちらのお知らせでも、「クレジットカード流出被害が増加しています。EC-CUBEご利用店舗のセキュリティチェックをお願いします」というお知らせが掲載されていました。
具体的には決済画面を改ざんされてクレジットカード情報が抜き取られてしまうフォームジャッキングという手法による被害が増加していることを警告していました。改ざんされたECサイトで商品の購入手続きを進めると、偽の決済画面へ誘導されてしまい、そこにクレジットカード情報などを入力すると情報を盗まれてしまいます。決済をこのまま完了するとエラーメッセージが表示されたうえで、正規の決済代行業者の決済サイトに戻り手続きを進める形になります。これで決済は完了し商品も届くので、利用者は特に不審に思うこともなく発覚が遅れることになります。
EC-CUBEでは特に2系を利用している店舗でインストール時の不備や漸弱性対応がされていないところを突かれて攻撃されているケースが多いとされています。
記事によると、2019年にクレジットカード情報が流出した通販サイトの4分の3以上でEC-CUBEが使われていました。
これを受けて、経済産業省はEC-CUBEという商品名を指定して注意喚起を実施しています。
サーバーの設定、ソフトウェアやOS等の脆弱性への対応、その他セキュリティ確保のための対策はネットショップを運営する上では絶対に必要です。イーシーキューブでは対応方法を公表しているほか無料のセキュリティ診断サービスなどを実施しています。また、自社で対策が難しい場合のインテグレータパートナーへの相談窓口も紹介していました。
消費者としてできることは、やはり利用する通販サイトはセキュリティ確保にも大きな対策費用を捻出しているような信頼性の高い会社が運営しているところに限定することが挙げられるでしょう。大手の会社であっても情報漏洩の事案が発生しているので100%の安心はありませんが、被害にあう可能性は低くなります。また、個人情報を登録するサイトは極力少なくしておくことも重要ではないかと思っています。企業の自社運営オンラインショップと同じ企業が楽天市場などに出店している場合には、私自身は楽天市場で購入するようにしています。
コメント