ECサイトの構築・運用に必須の「セキュリティ対策」。義務化への取り組みが進むセキュリティガイドラインやEC担当者が取るべき対策を詳しく解説!
インターネットで気軽に商品が買える今、ECサイトは企業にとっても顧客にとっても欠かせない存在です。しかしその便利さの裏側で、日々進化するサイバー攻撃の脅威が静かに忍び寄っています。
個人情報や決済情報を多く扱うECサイトは、悪意を持つ者に狙われやすく、そして一度被害を受ければ経営そのものを揺るがしかねません。その影響は金銭的損失にとどまらず、顧客の信頼やブランド価値を一瞬で失うリスクすらはらんでいます。
本記事では、なぜECサイトに強固なセキュリティ対策が求められるのか、その背景やガイドラインの策定、具体的な対策について詳しく解説していきます。
目次
ECサイトでセキュリティが重要視される理由

オンラインで商品を販売できるECサイトは便利で手軽なビジネス手段として広く活用されていますが、その一方で、常にサイバー攻撃のリスクと隣り合わせにあるという現実も忘れてはなりません。セキュリティ対策は単なる技術的オプションではなく、事業の根幹を支える必須条件と言えるでしょう。ECサイトにおいてセキュリティが強く求められる理由をご説明します。
【1】通常のサイトよりも攻撃者に狙われやすい
ECサイトは、ただ商品を販売しているだけの場ではなく、膨大な顧客情報や決済情報を扱う「情報の宝庫」とも言えます。
氏名・住所・電話番号・メールアドレスなど、金銭的価値の高い個人情報が一括で保存・管理されているため、サイバー攻撃者にとっては魅力的なターゲットと見なされがちです。
また、クレジットカード情報といった決済情報は、金銭に直接関わる情報であるため、より魅力的な情報であるのは言うまでもありません。
実際、こうした個人情報や決済情報はダークウェブ(一般的なWeb検索では見つけられないインターネット領域)などで高値で取引されており、漏えい件数が数万件規模に達すれば、その市場価値は数百万円から数千万円になることもあるといいます。
また、利用者の多いECサイトほど顧客情報も膨大になり、攻撃に成功した場合の影響範囲や被害規模は拡大し社会的なインパクトも深刻です。
こうした背景から、ECサイトは一般的な企業サイトやブログよりも攻撃する価値があり、サイバー攻撃の標的になりやすい傾向があります。
【2】セキュリティ意識が低いECサイトも多い
IPA(独立行政法人情報処理推進機構)が公開している「ECサイト構築・運用セキュリティガイドライン」によると、サーバー攻撃の被害を受けたECサイトの運営事業者の一番の問題は、自社のECサイトがサイバー攻撃の対象になることはないと考え、セキュリティ対策を疎かにした状態でECサイトの構築・運用を行っていたことだとしています。
実際に多くの企業が「うちは小規模だから狙われないだろう」「そこまで重要な情報は扱っていない」といった思い込みのもと、初期設定のままサーバーを使い続けていたり、脆弱性があるソフトウェアの更新を後回しにしていたりするのではないでしょうか。
また、セキュリティ対策の必要性を理解していても「何をすればいいのか分からない」という理由から放置されることも少なくありません。結果として外部からの攻撃に対して無防備な状態が続きます。
こうした油断や隙のあるECサイトは、高度な手法を使わなくても比較的容易に侵入が可能となるため攻撃の対象となりやすくなります。
【3】攻撃を受けた時の損害が甚大
ECサイトが攻撃を受けた場合、その被害は単なる技術的な問題にとどまらず、時に企業活動を揺るがすほどの甚大な損害を招くことがあります。
一つには個人情報の漏洩に伴う補償や損害賠償です。補償内容や賠償金額は様々ですが、例えば2014年に起きた大手教育関連企業・ベネッセコーポレーションの個人情報流出事件では、3,504万件もの個人情報が漏洩し、同社は補償として被害者への金券500円を用意。業績も大きく落ち込みました。このような巨額の支出が、企業の経営を大きく圧迫するのは言うまでもありません。
仮に情報漏洩が発生しなくても、深刻なサイバー攻撃を受ければ、その対処のためにサイトを一時的に閉鎖せざるを得ません。これも独立行政法人情報処理推進機構の試算ですが、ECサイトを一時停止した場合の平均的な売上損失は、1社あたり約5,700万円にものぼるとされています。
そして何より問題なのが消費者からの信頼を失うこと。自らの個人情報やクレジットカード情報を入力するECサイトですから、安全性に対する信頼を損なえば顧客離れによる売上減少やブランド価値の低下は避けられません。この点からも、ECサイトのセキュリティ対応は非常に重要なのです。
EC-CUBEを安心・安全に運営するセキュリティ対策の資料をご用意しております。
無料で資料をみる →
「ECサイト構築・運用セキュリティガイドライン」について
ECサイトを含むWebサイトやIoT機器を狙ったサイバー攻撃の脅威は年々増しています。
総務省「令和6年版 情報通信白書」によると、国立研究開発法人情報通信研究機構(NICT)が運用している大規模サイバー攻撃観測網(NICTER)のダークネット観測で確認された、2023年のサイバー攻撃関連の通信数は約6,197億パケット。これは2015年の実に9.8倍もの数字であり、各IPアドレスに対して14秒に1回観測されたことに相当します。
そして前章に示した通り、ECサイトが攻撃を受けるとその被害は甚大です。セキュリティはECサイト構築・運用の際の必須条件であり、構築時点で必ずセキュリティ対策と運用・保守コストを考えておく必要があります。
こうした背景を受け、独立行政法人情報処理推進機構(IPA)は経済産業省と連携し、ECサイトを構築・運用する中小企業向けに、「ECサイト構築・運用セキュリティガイドライン」を策定しました。
ECサイトにおけるセキュリティ対策の重要性を周知すると共に、ECサイトのセキュリティ確保のために経営者が実行すべき項目、実務担当者が具体的に実践すべきセキュリティ対策の内容をまとめたものです。
独立行政法人情報処理推進機構とは
ここで前述の「独立行政法人情報処理推進機構」という組織についてご説明しておきます。
独立行政法人情報処理推進機構、通称IPA(Information-technology Promotion Agency)は、経済産業省が管轄する2004年設立の独立行政法人です。日本のIT国家戦略を技術面・人材面から支え、ソフトウェア分野における競争力の総合的な強化を図ることを目的としています。
IPAは、絶え間なく進化するIT社会の潮流や技術動向を広い視野で捉え、社会課題の解決や産業の発展につながる指針を示していくとともに、情報セキュリティ対策の強化や、優れたIT人材を育成するための活動に取り組み、安全で利便性の高い“頼れるIT社会”の実現に貢献してまいります。
—IPA公式ホームページより
IPAでは事業の柱として次の3点を掲げています。
- デジタル基盤の提供
Society 5.0(サイバー空間とフィジカル空間を高度に融合させたシステムにより経済発展と社会的課題の解決を両立する人間中心の社会)の実現に向け、社会全体でのデータ連携を可能にするアーキテクチャ設計や「データスペース」の整備、ソフトウェアエンジニアリングの推進、DX支援などを通じて、持続可能なデジタル社会の基盤構築に取り組んでいます。 - サイバーセキュリティの確保
組織や個人がサイバーセキュリティ対策に主体的に取り組めるよう支援するとともに、国家・経済全体の安全保障にも貢献しています。啓発活動によるセキュリティ意識の向上、セキュリティ製品やシステムの安全性を評価・認証する制度の運営、サイバー空間上の脅威情報の収集・分析・発信などにより、社会全体のセキュリティレベルの向上を目指しています。 - デジタル人材の育成
デジタル社会の進展に対応できる人材の育成を目的に、個人・組織のスキル向上を多面的に支援しています。スキル標準(DSS、ITSS、ITSS+)の整備や国家試験の実施により、知識・技能の客観的な評価基準を提供。あわせて、組織変革と個人のリスキリング支援やデジタルリテラシー向上の取り組みを通じて、個人・組織のスキル強化を後押ししています。
ガイドラインの対象読者
このガイドラインは、中小企業の以下に該当する方々を想定読者として作成されています。
- ECサイトを新規に構築しようとしている経営者
- 既にECサイトを運営している経営者(SaaS型サービスの利用も含む)
- 経営者から指示を受けた、ECサイトの構築および運用担当者・関係者および外部委託先事業者
経営者の方(①②)は、ECサイトを構築・運営するためにECサイトのセキュリティ対策の重要性を再認識できます。また本ガイドラインを参考に、実務担当者(③)に自社ECサイトのセキュリティ対策状況の確認と改善を指示し、状況や講じる対策等を共有することができます。
実務担当者の方は、「セキュリティ対策要件リスト」を用いて自社ECサイトのセキュリティ対策状況を確認し、必要な対策を講じます。
なおSaaS型ECサイトではサービス提供会社が基本的なセキュリティ対策を行ってくれますが、その場合でも自社の責任範囲となるセキュリティ対策はあるため、ガイドラインで自サイトのセキュリティをよく確認・対策するようにしましょう。
またガイドラインでは、ECサイトの運用形態や読者別に、ガイドラインのどの項目を参照すれば良いかが一覧化されているのであわせて参照ください。
ガイドラインの構成
本ガイドラインは、「経営者編」と「実践編」の2部構成になっています。
経営者編
ECサイトのセキュリティ対策に関して、経営者が認識・実行すべきセキュリティの必要性や基本対策を挙げるとともに、ECサイトの構築時及び運営時に、経営者が認識し、実務担当者に実施させるべき取り組みが整理されています。
実践編
ECサイトの構築・運営時におけるセキュリティ対策要件をまとめるとともに、「経営者編」で挙げた実施すべき取り組みについて、責任者および担当者が行うべき具体的な実践内容をチェックリスト形式でまとめています。自社サイトの状況に見合った実践すべき対策の範囲や実現方法を検討する上でも重要な内容です。
また巻末の「付録」には、ECサイト構築・運用時のセキュリティ対策要件を一覧化したチェックリストや、実際に被害を受けたECサイトからの生の声、契約関係書類のひな形など、セキュリティ対策に役立つ情報が整理されています。
関連リンク
ECサイトのセキュリティ強化策

繰り返しになりますが、ECサイトは顧客の個人情報や決済情報を扱う以上、高度なセキュリティ対策が欠かせません。ここではセキュリティを強化するための具体的な取り組みを、「サーバー・インフラ側で行うもの」と「サイト構築者・運営者が行うもの」に分けてご説明いたします。
サーバー・インフラ側で行うもの
①SSL/TLSによる通信の暗号化
SSL(Secure Sockets Layer)やTLS(Transport Layer Security)は、ECサイトとユーザーの間でやり取りされる情報(個人情報やクレジットカード番号など)を暗号化するための仕組みです。これにより、通信中のデータが第三者に盗聴・改ざんされるリスクを防ぎます。
特にECサイトでは、ログインページや決済ページなど、ユーザー情報を扱うすべてのページでSSL/TLSの対応が必須です。証明書は信頼できる認証局(CA)から取得し、有効期限が切れる前に更新を行う必要があります。証明書の有効期限や暗号化アルゴリズムの強度を定期的にチェックし、最新のセキュリティ要件に適合した証明書を運用することが重要です。また、Let's Encryptのような無料証明書もありますが、信頼性やサポート面を考慮し、有料証明書の利用も検討すべきです。
さらに、HTTP Strict Transport Security(HSTS)を有効にすることで、ユーザーが常にHTTPS接続を使用するよう強制し、中間者攻撃のリスクをさらに軽減できます。SSL/TLSの設定ミスを防ぐためには、定期的に専門的なセキュリティチェックツールを活用し、脆弱性を早期に把握して対応することも効果的です。
②WAFによる不正アクセスの遮断
WAF(Webアプリケーションファイアウォール)は、通常のファイアウォールとは異なり、Webアプリケーションの通信内容を解析し、攻撃的なリクエストを検出・遮断するセキュリティ対策です。SQLインジェクションやクロスサイトスクリプティング(XSS)、OSコマンドインジェクションなど、Webサイト特有の脆弱性を突いた攻撃に対応し、ECサイトを守る役割を果たします。またDDoS攻撃対策やボットアクセスの制御にも一定の効果を発揮します。
WAFはクラウド型・オンプレミス型の両方があり、導入の手軽さや導入コスト、運用の自動化の観点からクラウド型が多く利用されています。ECサイトに特化したルールセットを用いることで、業種特有の攻撃パターンにも柔軟に対応可能です。
またWAFの設定は「一度導入すれば終わり」ではなく、ルールの更新や誤検知対応などの運用も重要です。導入後のチューニング・保守管理が適切に行われることが、効果的な防御の鍵となります。ログ解析機能を活用して攻撃傾向を可視化し、継続的な防御体制の強化につなげましょう。
③脆弱性対策とセキュリティ更新の徹底
OSやWebサーバー、ミドルウェア、CMSなどのソフトウェアには、常に新たな脆弱性が発見されており、これを放置することは深刻なセキュリティリスクとなります。適切なタイミングでセキュリティパッチを適用し、既知の脆弱性を放置しない運用が重要です。自動更新の設定や、検証環境での事前テストなどを取り入れながら、システムを常に最新の状態に保つ運用体制を構築しましょう。
また、定期的な脆弱性診断サービスの活用も大切です。自社だけでは見つけづらいセキュリティホールを外部の専門機関が検出することで、より信頼性の高いシステム運用が可能になります。特にセール時期や新機能リリースの前には診断を行っておくと安心です。
加えて、脆弱性管理は一度行えば終わりではなく、継続的な監視と記録が求められます。検出された脆弱性のリスク評価、対策状況のドキュメント化、次回診断までの改善計画の立案など、PDCAサイクルを取り入れた運用が理想です。
④バックアップと災害復旧体制の整備
万が一のサイバー攻撃や障害・災害の際も迅速にサービスを復旧させるためには、定期的なバックアップの実施と復旧計画(DR:Disaster Recovery)の策定も重要なセキュリティ対策です。
バックアップは、システム全体・商品情報や受注情報などのデータベース・設定ファイルなどの対象を明確にし、世代管理や遠隔地への保存も考慮することで、攻撃や障害による被害を最小限に抑えられます。バックアップデータは暗号化し、安全なストレージに保存しましょう。クラウドバックアップの併用による多重化、BCP(事業継続計画)との連携などを通じて、より実効性の高い復旧体制を構築することが求められます。
加えて、復旧手順のマニュアル化や定期的な復旧訓練により、実際のインシデント発生時にも迅速に対応できる体制を整えておきましょう。
サイト構築者・運営者が行うもの
①セキュリティ教育と運用ルールの継続的整備
ECサイトの安全性を確保するためには、技術的な対策だけでなく、人のリテラシー向上も不可欠です。運用に関わるスタッフには、サイバー攻撃の手口や内部不正のリスク、日常業務で注意すべきポイントなどを理解してもらう必要があります。
フィッシングメールへの対応や「怪しいリンクをクリックしない」など基本的な対処から、インシデント発生時の対応フローまでを含めたセキュリティ教育を、研修やe-ラーニングなどで定期的に行います。教育内容やルールは実務と直結させ、現場での具体的な行動につながるよう工夫することも効果的です。さらに定着度を測るテストやロールプレイング形式の演習を通じて、知識の習得と実践力を高めましょう。
また運用ルールとして、ファイルの取り扱い・システム変更時の手順・ログ管理の方法なども文書化し、担当者間で共有・遵守される体制を整えることが大切です。この運用ルールも、業務プロセスや環境の変化に合わせて継続的に見直す必要があります。
②パスワードポリシーとアクセス権限の厳格管理
管理画面やバックオフィスシステムへの不正アクセスは、ECサイトの重大なリスクの一つ。このためパスワード管理は非常に重要です。
推測されやすい単純なパスワード(例:123456やadmin)を避けることはもちろん、「複雑なパスワードを使う」といった大まかな指示でなく、文字数は○文字以上とする、英大文字・小文字・数字・記号を組み合わせるなど、強固かつ明確なパスワードポリシーを採用しましょう。さらに、一定期間ごとのパスワード変更も推奨されます。
また、管理画面・顧客データベースなどのシステムへのアクセス権限の管理も入念に行いましょう。担当者の業務範囲に応じた最小限のアクセス権限を与える「最小権限の原則(Principle of Least Privilege)」を適用し、不必要な権限の付与を避けます。
アクセス権限の見直しも定期的に実施し、退職者や部署異動に伴う権限の変更・削除も迅速に対応する必要があります。権限の可視化や記録管理を徹底することで、内部不正の抑止にもつながります。
③不正注文検知と多要素認証の導入強化
近年、ECサイトにおけるクレジットカードの不正利用や「なりすまし」による注文が増加傾向にあり、購入者が実際に本人であることを確認する仕組みは不可欠です。これにはAIを活用した不正注文検知システムの導入が有効です。
「普通は見られない大量注文」「通常とは異なる配送先」「高額商品を短時間で複数注文」などの不自然な挙動を検知し、自動でアラートを出す仕組みを設ければ、被害の未然防止につながります。
不正注文への対応は、顧客満足度の維持にも直結します。疑わしい注文への対応フローをあらかじめ整備し、担当者間で迅速かつ的確な判断ができるよう体制を整えておくことも重要です。
さらに、管理画面へのログイン時や重要操作時には、SMS認証・メール認証などの多要素認証(MFA)を導入するのが一般的です。これによりパスワード情報が漏洩した場合でも、不正アクセスのリスクを大幅に下げられます。近年は顧客のログインにもMFA導入が推奨されつつあり、可能であればオプションとしてMFAを提供するのも良いでしょう。
セキュリティ事故発生時の対応方法

前章でご紹介した対策を徹底しても、セキュリティ事故の発生リスクを完全にゼロにすることはできません。万一インシデントが発生した場合に備えて対応方法を社内で確認・徹底しておけば被害の抑制と迅速な復旧が可能になります。セキュリティ事故への対応フローについてご説明します。
- 初動対応
事故発生時はまず冷静に状況を整理し、影響範囲や緊急度を見極めます。その上で、ログやシステム状態など証拠を保全し、システムの再起動や変更は慎重に行います。
被害の拡大防止としては、不正アクセス元の遮断や関係アカウントの一時停止などが挙げられます。また、対応に必要なメンバー(システム・法務・広報など)で対応チームを組成し、役割分担を明確にします。外部のセキュリティ専門家への早期相談も有効です。 - 情報共有
社内外への適切な情報共有は、混乱や信頼失墜を防ぐ鍵です。まずは社内での情報一元化と定期的な進捗共有を行います。
影響が顧客に及ぶ場合は、事実確認の上で誤解を招かない表現で説明します。法的義務がある場合は、個人情報保護委員会など関係機関への報告も必要です。公表のタイミングや内容は、法務・広報と連携し慎重に判断し、状況が進展した際には継続的なアップデートを行います。 - 原因調査
アクセスログやシステムログの解析により、侵入経路や攻撃手法を特定します。同時に、パッチ未適用や設定ミスなどの技術的な脆弱性を洗い出し、影響を受けたデータやシステムの範囲も明確にします。
技術面だけでなく、運用の問題点(手順の甘さや教育不足など)も見逃さず分析します。外部環境の変化(業界での類似事件、新たな攻撃手法)も参考にすることで、より正確な再発防止策が立てられます。 - 再発防止
調査結果に基づき、短期・中長期の再発防止策を講じます。短期的には、パスワード変更や不要なサービスの停止、ソフトウェアのアップデートなどが有効です。中長期的には、システム構成や監視体制の見直し、社員教育の強化を計画的に行うと共に、複数の対策を組み合わせて防御力を高めます。
運用面では、定期的なパッチ適用やアカウント管理、脆弱性診断の定着が必要です。経営層も含めた全社的なセキュリティ文化の醸成が、長期的な安全性確保につながります。
オープンソースのセキュリティに対する誤解

私たちイーシーキューブ社がご提供している「EC-CUBE」は、日本発のオープンソースEC構築パッケージとして、おかげさまで多数の企業や個人にご利用いただいています。
その一方で、EC-CUBEの導入を検討するにあたって「オープンソースはセキュリティ面に問題があるのではないか」と懸念されるユーザーの声は今も少なくありません。なぜこのような不安が生じるのかという背景を整理し、当社の見解や対策についてご説明いたします。
不安を持たれる背景
EC-CUBEを含むオープンソースソフトウェアは、その名の通りソースコードが公開されており、誰でも自由にダウンロード・利用・改変できます。
この自由度の高さはオープンソースの大きな利点でありますが、一方で、どのサイトで利用しているのかを「ベンダー側が全て把握できない」という課題があります。
そのため、ソフトウェアにセキュリティ上の問題(脆弱性など)が発生した場合でも、ベンダーから全ての利用者に直接通知を行うのは現実的に困難です。
この課題に対し、EC-CUBEをはじめ多くのオープンソースプロジェクトは、脆弱性や不具合に関する情報を公式サイトや開発者向けメーリングリスト、SNS、業界メディアなどを通じて大々的、かつ積極的に公開しています。
しかし、これによって脆弱性情報が他のECサービスに比べ、広く共有され、その結果として「オープンソースはセキュリティに問題が多い」というイメージが形成されやすくなるのです。
オープンソースのセキュリティ対応
こうした負のイメージは、オープンソースそのものの安全性の問題というよりも、「情報の開示範囲の広さ」に起因する側面が大きいと言えます。
商用ソフトウェアでは、脆弱性などの問題が発生しても、その情報はベンダーから契約者(顧客)に対して限定的に提供され、外部には問題の存在が知られにくくなります。ソフトウェアである以上、完璧なものは存在せず、脆弱性は発見され、修正されています。表面上は「トラブルが少ない」ように見えても、実際にはオープンソースと同等かそれ以上の頻度でセキュリティ課題が発生している可能性も否定できません。
オープンソースは、その透明性の高さから、外部のセキュリティ専門家や開発者コミュニティの協力により脆弱性の発見や修正が迅速に行われるという利点があります。
実際、広く使われているオープンソースプロジェクトの多くでは脆弱性情報の公開ポリシーや修正フローが整備されています。オープンソースには「多くの目がコードを見ることで品質が高まる」という考え方(リーナスの法則)も根付いており、多様な視点によるレビューがセキュリティの底上げに貢献していると言えます。国内で最も利用されているEC-CUBEにおいては、最も多くの目で脆弱性のチェックがされており、その結果現在では国内でも類を見ないほど、脆弱性対応情報やパッチが迅速に提供される体制が確立されているわけです。
「オープンソース=セキュリティが弱い」という印象は、実態と一致していないことがお分かりいただけたと思います。むしろ、適切なセキュリティ対応がなされているオープンソースであれば、情報の透明性や迅速な対応力を武器に、より安全性の高いソフトウェア運用が可能となるのです。
EC-CUBEで過去に発生した脆弱性の問題

過去、EC-CUBEを利用したサイトにおいて情報漏洩や改ざんといったインシデントが発生したことがあるのは間違いありません。ただ、ここでぜひ皆様にご理解いただきたいのは、その原因がEC-CUBEそのものの構造的な欠陥によるものではなく、そして問題が発覚した際には開発元が迅速かつ的確な対応を取ってきたという事実です。
ここでは、実際に起こった2つの事例において、EC-CUBEがどのように課題と向き合い、どのような体制で対応を行ってきたのかをご紹介いたします。これを通して、読者の皆様により正確な判断材料をご提供できれば幸いです。
①誤インストールによるクレジットカード情報の漏洩
被害と原因
2018年、EC-CUBEにより構築されたECサイトで、商品購入時にフォームに入力したクレジットカード番号が漏洩する被害が発生。NISC(内閣サイバーセキュリティセンター)からの連絡を受けて調査を行ったところ、当該サイトには、通常と異なる誤った手順でEC-CUBEのインストールが行われていたことが判明しました。
当時レンタルサーバー会社等から案内されていたインストール方法が、本来は非公開のディレクトリにインストールするべきファイル群を、公開箇所に設置するように説明されていたのです。
この案内に従うと、管理者ユーザーのセッション情報を自動的に書き込むファイル等が外部に公開された状態になってしまいます。そこにサイト攻撃者が、この公開情報に含まれるセッションIDを取得して管理者になりすまし、サーバーに侵入。サイト改ざんが行われ、消費者が偽のフォームに入力したクレジットカード番号が攻撃者に盗まれました。
つまり主たる原因はEC-CUBE本体ではなく「サーバー会社によるインストール方法の誤案内」にあり、通常通りのインストールを実行すれば問題が発生することはありませんでした。
対策
問題の発覚を受け、当社は早急に以下の対応を行いました。
- 誤ったインストール手順を案内している企業と連携し、案内を訂正
- 開発コミュニティ等での制作会社・店舗への注意喚起
- プラグインによる公開状況の自動チェック機能を提供
- データの公開状況を確認するチェックシートを公開
- セキュリティ専門企業と連携した無料診断を提供
- 以降のバージョンでは誤インストール時にも問題が発生しないよう対処(.htaccessファイルによるアクセス制御)
さらに、前述の通りEC-CUBEの全利用者への個別の周知が難しい点や、レンタルサーバーを利用してEC-CUBEを構築している事業者の多さや影響を加味し、経済産業省による大規模注意喚起※を実施すると共に、クレジット対策協議会公開のセキュリティガイドラインに注意を記載しました。
※ 株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について(注意喚起)
②XSS脆弱性を悪用したサイト改ざん攻撃
被害と原因
2021年「Water Pamola」と名付けられたXSS(クロスサイトスクリプティング)攻撃が世界中で流行し、多くのECサイトが被害に遭いました。XSSとは、Webサイトやアプリケーションの脆弱性を利用して悪質なスクリプトを埋め込み、利用者の個人情報盗難などの被害を及ぼすサイバー攻撃です。
Water Pamolaの大まかな流れは次の通りです。
- 攻撃者がECサイトで、XSSスクリプトに誘導するURLが付いた不正な注文を行う。
- そのECサイトに脆弱性がある場合、サイト管理者が管理画面で注文を確認する際にスクリプトが実行される。
- Webシェル(攻撃者がリモートでサーバーを制御するためのスクリプト)がECサイトに追加される。
- XSSスクリプトによりフィッシングサイトへの誘導やマルウェア配信が行われ、顧客情報やクレジットカード情報が漏洩。
EC-CUBEでも、4系の最初期バージョン(4.0~4.0.5)と3系の一部プラグインにXSS脆弱性が存在し、これを悪用したサイト改ざんによる情報漏洩事故が発生しました。
この脆弱性はセキュリティ専門企業の第三者診断でも見つからなかったものです。また当時、世界中のECカート(SaaSカートを含む)、ECサイトがWater Pamolaの被害に遭っており、決してEC-CUBEやオープンソースソフトウェアに限った問題ではありません。
対策
XSS脆弱性の発覚後、当社は本件を「非常に緊急性の高い問題であり対応は急務」とし、即時に注意喚起とセキュリティパッチ公開を実施。またWarter Pamolaを含めた多くの攻撃はWAFによって防止可能であるため、WAFの導入を推奨しました。
さらに約150の制作会社に対して計5回のオンライン説明会を実施し、徹底周知に務めました。また決済会社経由でEC-CUBEを利用する各ショップに電話・メールでの情報提供を行うと共に、JVN(脆弱性対策情報ポータルサイト)やIPA・JPCERT・SHIFT SECURITYなど情報セキュリティ関連の団体や企業と連携して、注意喚起の情報発信を展開しました。
問題発覚の4日後には、XSS脆弱性に対応したEC-CUBE 4.0.6をリリース。セキュリティ対策を強化し、これ以降EC-CUBEの重大な脆弱性は発生していません。
EC-CUBEはセキュリティ対策に真摯に取り組んでいます

先イーシーキューブ社では、国内有数のECプラットフォームを開発・提供している社会的責任と自覚のもと、EC-CUBEのセキュリティ対策を最重要課題と位置づけており、以下の取り組みを積極的に推進しています。
個々の取り組みについて詳しくは以下のページをご覧ください。
「アプリケーション・環境・人」三位一体のセキュリティ支援
EC-CUBEでは、サイト開発者や店舗運営者の皆様に、絶えず変化するコンプライアンスニーズや自社のセキュリティ要件に合わせたセキュアな事業運営をしていただけるよう、アプリケーション・環境・人を軸とした三位一体のセキュリティ対策と支援により、安心安全をご提供しています。
アプリケーション:セキュアなソフトウェアによる支援
- 自動脆弱性検査などDevSecOps(セキュリティを確保しつつ、開発スピードを損なわないスタイル)な開発
- セキュリティ専門企業・EGセキュアソリューションズとアドバイザリー契約を締結
- 定期的かつ多層的な脆弱性診断として、外部脆弱性診断サービスによる各サービスへの診断、リリース前のOWASP ZAPによる検査、週1回のVAddyによる自動検査を実施
環境:セキュアな利用環境構築のための支援
- 自社のセキュリティ要件(データやログの保管・削除要件等)にあわせた設計が可能
- 新規で発見された脆弱性はその対策方法をEC-CUBEサイトとJVNでも公開
- セキュリティ専門企業とタッグを組みセキュリティサービスを提供
人:セキュリティリテラシー向上のための支援
- セキュリティ情報サイトやセキュリティセミナーでのノウハウ提供
- EC-CUBE開発者向けのセキュアコーディングガイド提供
- サイバーセキュリティ連盟に加盟
- ISMS(ISO27001)認証の取得
クレジット取引セキュリティ対策協議会・日本クレジット協会との連携
ECサイト運営における最新のセキュリティ脅威に対応するために、「クレジット取引セキュリティ対策協議会」によって定められるガイドラインの策定に参画し、業界全体のセキュリティレベル向上に努めています。
この協議会は、クレジットカードシステムのセキュリティ対策について、カード会社・決済代行業者・加盟店・システムベンダーなど様々な関係事業者が平等な立場で協議するための組織です。
当社の具体的なセキュリティ対策や運用に関するベストプラクティスをお伝えしつつ、協議会や日本クレジット協会、決済代行会社などからの情報連携を受けながら、EC-CUBEを含めた業界全体のセキュリティ向上に取り組んでいます。
警察庁・経済産業省との連携
近年増加しているサイバー攻撃や情報漏洩などのセキュリティ被害に対応するため、経済産業省や警察庁と緊密に連携し、最新のセキュリティ被害に関する情報共有や被害対策方法について継続的に協議を行っています。
これにより、EC-CUBE利用者様への迅速かつ適切な情報提供や、被害発生時の早期対応を可能としています。
これらの取り組みを通じてEC-CUBEのセキュリティを常に最新の状態に保ち、お客様に安心してご利用いただける環境をご提供できると考えております。
大規模ECにおけるセキュリティ対策も万全
ここまでECサイトのセキュリティ対策について様々な角度からご説明してきました。対策の重要性や具体的な施策、オープンソースのセキュリティ性など幅広くご理解いただけたかと思います。
各店舗が実際にどのような対策を取るべきかはサイトの規模や環境によって異なりますが、特に数千~数万規模の商品点数を取り扱うような大規模ECサイトの構築・運用においては、最大級のセキュリティ対策が必須です。そこで当社では、大規模EC向け構築・運用サービス「EC-CUBE Enterprise(イーシーキューブ エンタープライズ」をご提供しています。
EC-CUBE Enterpriseは、オープンソースのEC-CUBEをベースに、非機能要件(セキュリティ、性能、可用性)を大規模ECサイト構築に必要な高い水準でパッケージ化したサービスです。
常に進化するEコマースへの脅威に対し脆弱性を生み出さないために、また、脆弱性にいち早く対応するために、複数の診断ツールによるチェックと社外ベンダーによるセキュリティ診断を定期的に受け、高いセキュリティ品質を維持。ディレクトリ構成などを再構成したソースコード、AWS WAFの標準搭載など、よりセキュリティを強化したパッケージとなっています。
EC-CUBE Enterpriseについて詳しくはこちらをご覧ください。
セキュリティ対策 参考リンク集
「安全・安心なクレジットカード取引への取組」関連資料
https://www.j-credit.or.jp/security/document/index.html
日本クレジット協会が公開している、クレジットカード取引のセキュリティに関する資料がまとめられています。上述の「クレジットカード・セキュリティガイドライン」をはじめ、クレジット取引セキュリティ対策協議会の活動状況や実行計画、EC加盟店に向けた啓発資料などを閲覧できます。
中小企業の情報セキュリティ対策ガイドラインについて
https://www.ipa.go.jp/security/guide/sme/about.html
中小企業等ではITの利活用が進む一方で、サイバー攻撃手法の巧妙化、悪質化などにより事業に悪影響を及ぼすリスクが高まってきています。これを受けてIPA(独立行政法人情報処理推進機構)が中小企業の情報セキュリティ対策について具体的な方策を示した「中小企業の情報セキュリティ対策ガイドライン」が公開されています。
クレジットカード決済システムのセキュリティ対策強化検討会 報告書
https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/pdf/20230120_1.pdf
年々深刻化するサイバー攻撃等の脅威に対して追加的な対策の実行を促進するべく業界団体や専門家などで構成された「クレジットカード決済システムのセキュリティ対策強化検討会」での討議を踏まえ、クレジットカード決済システムのセキュリティ対策強化に向けた具体的な取り組みと今後の課題について取りまとめたものです。
安全なウェブサイトの作り方
https://www.ipa.go.jp/security/vuln/websecurity/ug65p900000196e2-att/000017316.pdf
IPA(独立行政法人情報処理推進機構)セキュリティセンターが発行する冊子です。IPAが届出を受けたソフトウェア製品やWebアプリの脆弱性関連情報に基づいて、特にWebサイトやWevアプリについて、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、その根本的な解決策と保険的な対策を示しています。
EC-CUBEを安心・安全に運営する
セキュリティ対策の資料をご用意しております。
他の記事もご覧ください
-
「ECサイトとは?」「ECってどんな意味?」今さら聞けない素朴な疑問を分かりやすく説明!サイト制作や運営のポイントも詳しく解説します
ネット通販は私たちの暮らしにすっかり身近な存在となっていますが、皆さんは「ECサイト」というものについてどのくらい知っていますか?本稿ではECサイトの基本知識から成功するための実践的なポイント、おすすめのEC構築方法などを幅広く解説します。
-
ECサイト運営とは:成功するための実務フロー・必要スキル・よくある課題・改善策を徹底解説!EC-CUBEの活用ポイントも
「これからECサイトを構築することになったが、何から手をつけたらよいかわからない」「ECサイトをリニューアルすることになったが、どのパッケージを使えばベストなのかわからない」「ASPカート、パッケージ、オープンソース、フルスクラッチの違いや特徴がいまいち理解できていない」とお悩みのご担当者は多いのではないでしょうか?この記事ではECサイト制作・構築のステップ、よくある困りごとと対策などを解説していきます。ECサイトをこれから立ち上げる予定の方、リニューアルを検討している方にとって何かひとつでもお役に立てば幸いです。
-
ECサイトの作り方ガイド【初心者向け】無料で始めるECサイト作成の全手順
「ECサイトを作りたいけど、何から始めればいいのか分からない…」というあなた、ご安心ください!ECサイトを立ち上げるまでの流れや準備すること、注意点などを詳しく解説します。無料でサイトを作れる便利なサービスもご紹介していますのでぜひご覧ください。

