経済産業省は12月20日、ECパッケージシステム「EC-CUBE」の一部のバージョンにおいて、クレジットカード情報の漏えいの原因になる脆弱(ぜいじゃく)性があるとして利用者に注意喚起した。
2019年現在までにネットショップが公表している事案に限っても、約14万件のカード番号などが漏えいしているという。「EC-CUBE」を提供しているイーシーキューブも12月23日に注意喚起を行い、該当するバージョンを利用している店舗に対策を呼びかけている。
イーシーキューブによると、特に「EC-CUBE」2系を利用している店舗でインストール時の不備や、過去に発表された脆弱性への対応が完了していない場合、第三者から攻撃を受けるケースが多いという。
カード情報を抜き取る手口とは?
一般財団法人日本サイバー犯罪対策センター(JC3)は「EC-CUBE」の2系バージョンで発生しているカード情報窃取の手口を公表している。
それによると、利用者(エンドユーザー)が改ざんされたECサイトで商品の購入手続を進めると、偽の決済画面へ誘導される。利用者が偽のサイトにクレジットカード情報などを入力し、決済を完了しようとすると、「再度決済をお願いします」といった偽のエラーメッセージが表示される手口。
改ざんされたECサイトの遷移例(画像はJC3のHPから編集部がキャプチャ)
そして、エラーメッセージが表示された後、利用者は正規の決済代行会社の決済サイトに戻され、正規の決済手続に移行するという。
表示されるエラーメッセージ例(画像はJC3のHPから編集部がキャプチャ)
こうした手口では、注文通りの商品が届き、正規の決済も行われるため、利用者はクレジットカード情報を盗まれたことに気付くことが困難だとしている。
イーシーキューブは脆弱性があるバージョンを利用している店舗に向けて、対応方法を公表しているほか、無料のセキュリティ診断サービスなどを行っている。
※このコンテンツはWebサイト「ネットショップ担当者フォーラム」で公開されている記事のフィードに含まれているものです。
オリジナル記事:経産省が「EC-CUBE」のカード情報流出被害の増加を注意喚起
Copyright (C) IMPRESS CORPORATION, an Impress Group company. All rights reserved.
このページは、外部サイト ネットショップ担当者フォーラム の情報をRSSフィード経由で取得して表示しているため、記事の一部分しか表示されていなかったり、画像などが正しく表示されなかったり、オリジナル記事が意図したデザインと異なっていたりする場合があります。
Facebookいいね!の多い記事
Twitterで言及の多い記事
はてなブックマーク人気記事