セキュリティ対策についてEC-CUBEを安全にご利用いただくためには、ご利用の環境にあわせて正しくセットアップされていること、既知の脆弱性などのパッチやバージョンアップがされていることが大切です。

EC-CUBEでは、国内最大級のECパートナーネットワークを活かし、皆様がより安心・安全に、ECサイトを運営いただけるよう、様々な情報を発信しております。最新の情報については、EC-CUBE管理画面のお知らせ欄やメールマガジンでも配信しています。日頃よりご確認いただき、いち早く対応いただけるようお願いいたします。

ご自身での対応が難しい場合は、セキュリティの支援ができるパートナーや無料診断・EC-CUBEセキュリティ診断メンテナンスフリーで利用可能な「ec-cube.co」など、様々なサービスをご紹介しておりますので、ぜひご活用ください。

セキュリティ対策の流れ

国内のECサイトにおいて、決済画面を改ざんされ、クレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が増加しております。EC-CUBEご利用店舗からも、多数被害が報告されていることから、以下について必ずご確認ください。

  1. 01.ご利用のEC-CUBEのバージョンを確認する
  2. 02.セキュリティチェックシートや脆弱性リストを確認する
  3. 03.ご自身もしくはパートナーと適切な対応を行う
  4. 04.さらなるセキュリティ強化の検討

01.ご利用のEC-CUBEのバージョンを確認する

EC-CUBEのバージョンにより対応・対策が異なりますので、まずはEC-CUBEのバージョンをご確認ください。
※EC-CUBEをご利用かわからない場合はこちらをご確認ください。

02.セキュリティチェックシート・脆弱性リスト・ツールを確認する

関係各社の協力により、これまでの被害事例や、適切に運用いただいているサイトの事例を元に、各バージョン毎に運用環境セキュリティチェックシートを作成いたしました。

特に2018年から2019年の被害事例では「意図しないディレクトリ・ファイルの露出」が多くの原因となっている事が判明しております。その点を踏まえ「必須」「推奨」「状況により判断」というように対応優先度もわけさせていただいております。攻撃手段は日々進化をしておりますが、多くのサイトでは適切な設定により、問題なくご利用いただいています。
被害が続いている2系に関わらず、3系や4系でも適切にご利用いただけるよう、ぜひチェックシートを元にご利用の状況をご確認いただけますようお願いいたします。

最新バージョン以外のEC-CUBEをご利用になる場合は、セキュリティシート・ツールに加え、脆弱性リストより該当する脆弱性をご確認の上、必ず該当の脆弱性を修正いただきますよう、お願いいたします。

03.ご自身もしくはパートナーと適切な対応を行う

「セキュリティ専門企業による無料セキュリティ診断提供」

セキュリティ専門企業と連携し、EC-CUBEに関する無料セキュリティ診断をご提供いただいております。
ご自身でのチェックが難しい場合はご活用ください。

  • EGセキュアソリューションズ

    EC-CUBEセキュリティアドバイザリーとして、EC-CUBEサイトを安全に保つための無料セキュリティチェックサービスをご提供。

    無料診断お申し込み
  • SHIFT SECURITY

    中小企業や個人事業者が運営するECサイトにも安心、安全を担保できるように、「EC-CUBE向け無償簡易セキュリティ診断」をご提供。

    無料診断お申し込み
  • ※ご利用状況により簡易な診断が行えない場合や、カスタマイズ部分については有償での対応になります。チェック後に対策が必要となる場合は、別途ご対応いただく必要がございます。
  • ※無料診断では、EC-CUBE本体に関するご質問等、セキュリティ診断以外のご質問にはお答えいたしかねますのでご了承くださいませ。

04.さらなるセキュリティ強化の検討

ご自身のサイトの状態を確認し、セキュリティ対策を実施・継続できるようにされた上で、
さらにセキュリティの強化をお考えの方は、以下の情報もご覧ください。

EC-CUBE公式WAF「EC-CUBE KEEPER with GUARDIAX」

EGセキュアソリューションズにて無料セキュリティ診断を実施したサイトの8割以上は2系のEC-CUBEを利用しており、設定ミスにより誤って設定ファイルや機密情報が公開されているサイトは、全体の2割を超えていたことがわかりました。

「EC-CUBE KEEPER with GUARDIAX」はEC-CUBEに特化した専用クラウド型WAFです。利用することで、悪意のある攻撃のアクセスを遮断するWAF機能に加え、誤って公開された設定ファイルや機密情報へのアクセスを制限し、第3者によるサイトの悪用や情報漏洩を防ぐことができます(月額1万円~)。

※WAF(ワフ)とは、Webアプリケーションファイアウォールの略で、Webアプリケーションへの攻撃を検出・防御し、Webサイトの改ざん、情報流出を防ぐ機能サービスのことです。

WAFとは

■ 情報提供やご協力のお願い

今後、各項目についての対応手順の提供を予定しております。
チェックリストへのご意見やご要望、被害事例の情報提供、対応手順のドキュメント提供などご協力いただける内容がございましたら【お問い合わせ】よりご連絡いただけますと幸いです。

EC-CUBE® DemoSite

デモサイトで体験

最新ニュースやECノウハウをお届けします
メールマガジン登録はコチラ