ニュース

【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/24 17:00 更新)（2021/05/24）

本脆弱性告知ページの更新情報やその他脆弱性対応への最新情報は、EC-CUBE公式Twitterより発信いたします。
最新情報を取得されたい場合はTwitter公式アカウントのフォローをお願いいたします。

EC-CUBE4系ご利用の一部サイトにおいて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されています。
本脆弱性は、既に複数サイトでの攻撃を確認しており、緊急度が非常に高い脆弱性でございます。該当バージョンでサイトを運営されている場合は、緊急対応のためのHotfixパッチを公開しておりますので、内容をご確認のうえ早急にご対応をお願いいたします。
なおクラウド版 ec-cube.co ではHotfixパッチを適用済ですので安心してご利用ください。

更新履歴

2021/5/24 17:00	「2.修正方法について」にてHTMLメールテンプレートを削除するカスタマイズを実施している場合の注意喚起を追加
2021/5/21 15:00	Q&A Q10.不正データ自体の処理方法について追記
2021/5/13 19:00	「3.攻撃された可能性の確認方法ついて」にてプラグインによる攻撃可能性(不正なデータ有無)の確認が可能になった旨を追加「4.クレジットカード情報漏洩が確定した場合について」項目を追加本脆弱性に関するQ&Aを追加
2021/5/11 20:50	「3.攻撃された可能性の確認方法ついて」に確認時の注意を追加
2021/5/11 17:00	「2.修正方法について」にて「XSS脆弱性修正プラグイン」がリリースされた旨を追加
2021/5/11 13:00	「1.クロスサイトスクリプティングの脆弱性」にてJVNからの公表内容リンクを追加
2021/5/10 9:00	「2.修正方法について」にて最新版「EC-CUBE4.0.5-p1」がリリースされた旨を追加
2021/5/9 14:20	「2.修正方法について」にてパッチ適用後のキャッシュ削除が必須の旨を追加
2021/5/9 12:00	「3.攻撃された可能性の確認方法について」にてクレジットカード決済導入の方へのご報告先を追加
2021/5/8 17:00	「3.攻撃された可能性の確認方法について」を追加
2021/5/7 18:30	本ページを公開

1.クロスサイトスクリプティングの脆弱性

危険度:高
該当バージョン:EC-CUBE 4.0.0〜4.0.5

脆弱性の詳細はこちら
https://www.ec-cube.net/info/weakness/20210507/

JVN(2021/5/10 公開)からの公表内容はこちら
JVN#97554111: EC-CUBE におけるクロスサイトスクリプティングの脆弱性

2.修正方法について

(1)修正パッチの適用について

修正パッチ

緊急対応のためのホットフィックスパッチを以下のページにて公開しております。
パッチファイルの適用または、差分の適用をしていただき、キャッシュ削除にて修正作業は完了いたします。(キャッシュ削除を忘れずにお願いいたします。)
本脆弱性における攻撃は既に複数サイトで確認されています。早急に修正対応をお願いいたします。
https://www.ec-cube.net/info/weakness/20210507/

修正プラグイン

「XSS脆弱性修正プラグイン」をリリースいたしました。(2021/5/11 17:00)
ファイルの上書きやソースコードの修正が難しい場合は本プラグインをご利用ください。インストール・実行後、Hotfixパッチの適用及びキャッシュの削除が自動で実行されますので、ご活用くださいませ。
※既にHotfixパッチを適用されている場合は、プラグインをご利用いただく必要はございません。
https://www.ec-cube.net/products/detail.php?product_id=2253

クラウド版ec-cube.coの場合

※クラウド版ec-cube.coでは2021/5/7時点でHotfixパッチの適用は完了しております。

DL版について

※Hotfixパッチを適用した最新版「 EC-CUBE 4.0.5-p1」が2021/5/10にリリースされました。これから新たにEC-CUBEをダウンロードされる場合はこちらをご利用ください。
詳しくは EC-CUBE 4.0.5-p1 リリースのお知らせをご確認ください。

(2)HTMLメールテンプレートを削除するカスタマイズを実施している場合の注意喚起(2021/5/24 17:00)

HTMLメールテンプレートを削除し、テキストメールテンプレートが使用されるようなカスタマイズを実施した場合、本脆弱性と同様のXSSが成立することが確認されました。
上記カスタマイズを実施されている場合は、以下を参照し、修正をお願いいたします。

※カスタマイズにより、テキストのみのメールテンプレートを追加した場合でも同様のXSSが成立する可能性があります。あわせてご確認ください。

https://www.ec-cube.net/info/weakness/20210507/#delete_htmlmail

3.攻撃された可能性の確認方法ついて

【注意】不審なデータを管理画面から参照すると攻撃が成立する可能性があります。
不審なデータを捜索する場合は、管理画面から確認せず、データベースや受注メールから調査を行うようお願いいたします。

パッチ適用修正実施後、以下リンク先を参照して既に攻撃されていないかの確認をお願いいたします。
https://www.ec-cube.net/info/weakness/20210507/#check

プラグインを使用した確認
「EC-CUBEセキュリティチェックプラグイン(4.0系)」にて不正データの有無を確認する機能を追加いたしました。(2021/5/13 17:00)
本脆弱性での攻撃された形跡確認にご利用ください。
https://www.ec-cube.net/products/detail.php?product_id=2040

既に攻撃された形跡が確認された場合は、早急にサイトを停止しシステム担当者やセキュリティの専門企業にご相談くださいませ。また、クレジットカード決済を扱われている場合は、クレジットカード会社や決済代行会社にもご報告をお願いします。

攻撃の形跡が確認された場合でもサイト改ざんや情報漏洩等の実被害が発生しているとは限りませんが、今後の被害を発生させないためにもご理解をお願いいたします。

セキュリティ専門企業紹介
・SHIFT SECURITY:https://www.shiftsecurity.jp/eccube/
・EGセキュアソリューションズ:https://www.eg-secure.co.jp/

4.クレジットカード情報漏洩が確定した場合について

クレジットカード情報漏洩が確定した場合、クレジットカード決済の再開には、PFIを所有する機関によるフォレンジック調査が必要となります。

フォレンジック調査会社紹介
・株式会社ブロードバンドセキュリティ:https://www.bbsec.co.jp/service/incident/creditcard-forengic.html
・NRIセキュアテクノロジーズ株式会社:https://www.nri-secure.co.jp/service/consulting/pfi

5.本脆弱性に関する今後の対応について

本脆弱性に関しましては、本日以降も影響調査・対応を引き続き行ってまいります。進捗があり次第、随時告知いたします。

6.本脆弱性のQ&Aとその他お問い合わせに関して多くいただいておりますご質問を以下のQ&Aにまとめました。
その他、ご不明点等ございましたらお問合せフォームまでご連絡をお願いいたします。
お問合せフォーム:https://www.ec-cube.net/contact/

質問1:サイトの情報を読んでも何を対応すればいいか分からない: 脆弱性の修正対応や調査が難しいようでしたら、システム担当者やEC-CUBEの制作パートナーにご相談ください。
また、攻撃可能性の調査に関しましてはセキュリティ専門企業へもご相談ください。

EC-CUBE制作パートナー紹介
https://www.ec-cube.net/integrate/partner/

質問2:そもそもEC-CUBEを利用しているかどうかが分からない: EC-CUBEをご利用かどうかのご確認は以下をご参照ください
https://www.ec-cube.net/info/security/#securit_flow01

質問3:EC-CUBEのバージョンが分からない: 以下のページを参考に、お使いのEC-CUBEのバージョンを確認ください。
https://www.ec-cube.net/info/security/#securit_flow01

質問4:利用しているのは、2系、3系だが今回の脆弱性は関係ないか?: 今回の脆弱性に関しましては、EC-CUBE4系をお使いの方対象でございます。

質問5:クラウド版(ec-cube.co)を利用しているが、何を対応すればいいか?: クラウド版(ec-cube.co)においては、脆弱性に対する修正対応や攻撃確認は実施済です。
今後不正なデータや、不具合が発生した場合は以下ec-cube.coお問い合わせフォームまで、ご契約企業様より直接ご連絡ください。
https://ec-cube.secure.force.com/coSupport/

質問6:攻撃方法や再現方法を詳しく教えてほしい: 攻撃方法の特定につながるため、公開情報以外はお答えすることができません。
脆弱性の公開情報は本ページ記載の情報をご確認ください。

質問7:攻撃をうけたか確認してほしい: ご利用のバージョンがEC-CUBE4系であれば、公開しております情報のように不正な受注データなどがなかったかをご確認ください。
ご自身で確認が難しい場合は、システム構築を担当された方やセキュリティ専門企業へご相談ください。
https://www.ec-cube.net/news/detail.php?news_id=383#p-news__sections3

質問8:攻撃の確認をしたところ、該当するものがありました。この先はどのような対応が必要でしょうか?: 下記ページで紹介しているような不正なコードが入っているようでしたら、攻撃を受けている可能性がございます。
https://www.ec-cube.net/info/weakness/20210507/#check

攻撃の形跡が確認された場合でもサイト改ざんや情報漏洩等の実被害が発生しているとは限りませんが、今後の被害を発生させないためにも、早急にサイトを停止しシステム担当者やセキュリティの専門企業にご相談ください。
https://www.ec-cube.net/news/detail.php?news_id=383#p-news__sections3

質問9:アクセスログで確認したが、ログはなかった。大丈夫と思って問題ないでしょうか?: EC-CUBE管理画面上(ログ管理)のアクセスログは、攻撃者により改ざんさている可能性がございます。より改ざんされにくいApacheやWebサーバのログを確認していただき、対象のログが確認できなければ、XSSが成立していない可能性が高くなります。

少しでも不安な点等ございましたら、セキュリティの専門企業をご紹介しておりますので、ご相談くださいませ。
https://www.ec-cube.net/news/detail.php?news_id=383#p-news__sections3

質問10:不正なデータを確認した場合、その不正なデータ自体はどうしたらよいでしょうか?: まず、修正パッチの適用が完了しているかご確認ください。
攻撃された可能性の確認にて発見された不正データは以下のようにご対応をお願いいたします。

【1】攻撃が成立しておらず、被害の可能性がない場合
パッチが適用されていればデータがあったとしても同様の攻撃は成立しませんが、不安がある場合は、データの削除や修正を行ってください。
不正データの削除や修正方法に関しては以下をご確認ください。
https://www.ec-cube.net/info/weakness/20210507/#delete_data

【2】既に攻撃が成立しており実被害が発生している恐れがある場合
調査で必要になる可能性があるため、不正なデータは削除や更新をせずそのままの状態で調査依頼されることを推奨いたします。