渡部 和章 2019/12/25 11:00

経済産業省は12月20日、ECパッケージシステム「EC-CUBE」の一部のバージョンにおいて、クレジットカード情報の漏えいの原因になる脆弱(ぜいじゃく)性があるとして利用者に注意喚起した。

2019年現在までにネットショップが公表している事案に限っても、約14万件のカード番号などが漏えいしているという。「EC-CUBE」を提供しているイーシーキューブも12月23日に注意喚起を行い、該当するバージョンを利用している店舗に対策を呼びかけている。

イーシーキューブによると、特に「EC-CUBE」2系を利用している店舗でインストール時の不備や、過去に発表された脆弱性への対応が完了していない場合、第三者から攻撃を受けるケースが多いという。

カード情報を抜き取る手口とは?

一般財団法人日本サイバー犯罪対策センター(JC3)は「EC-CUBE」の2系バージョンで発生しているカード情報窃取の手口を公表している。

それによると、利用者(エンドユーザー)が改ざんされたECサイトで商品の購入手続を進めると、偽の決済画面へ誘導される。利用者が偽のサイトにクレジットカード情報などを入力し、決済を完了しようとすると、「再度決済をお願いします」といった偽のエラーメッセージが表示される手口。

「EC-CUBE」の2系バージョンで発生しているカード情報窃取の手口 改ざんされたECサイトの遷移
改ざんされたECサイトの遷移例(画像はJC3のHPから編集部がキャプチャ)

そして、エラーメッセージが表示された後、利用者は正規の決済代行会社の決済サイトに戻され、正規の決済手続に移行するという。

「EC-CUBE」の2系バージョンで発生しているカード情報窃取の手口 表示されるエラーメッセージ例
表示されるエラーメッセージ例(画像はJC3のHPから編集部がキャプチャ)

こうした手口では、注文通りの商品が届き、正規の決済も行われるため、利用者はクレジットカード情報を盗まれたことに気付くことが困難だとしている。

イーシーキューブは脆弱性があるバージョンを利用している店舗に向けて、対応方法を公表しているほか、無料のセキュリティ診断サービスなどを行っている。

この記事が役に立ったらシェア!
これは広告です

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[ゴールドスポンサー]
ecbeing.
[スポンサー]