質問 > その他 > サイト改ざんによるクレジットカード流出被害について |
その他
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
vaio15 |
投稿日時: 2020/1/8 17:11
対応状況: −−−
|
半人前 登録日: 2018/5/11 居住地: 札幌 投稿: 28 |
サイト改ざんによるクレジットカード流出被害について https://www.ec-cube.net/user_data/news/201905/security_notice.pdf
サイト改ざんによるクレジットカード流出被害についてもっと詳しくしりたいです。 これは3系や4系でも事例があるのでしょうか?それとも2系以外はほぼ事例はないのでしょうか。 カード決済プラグインで被害にあってるものは特定されているのか、すべてなのでしょうか? それ以外、何か情報がありましたら教えて頂きたいです。 |
468 |
投稿日時: 2020/1/9 11:13
対応状況: −−−
|
神 登録日: 2008/10/26 居住地: 投稿: 3217 |
Re: サイト改ざんによるクレジットカード流出被害について 2系以外のECCUBEでの事例の有無については分かりませんが
該当PDFでは特にECCUBE2系に対して注意喚起されておりますが、 3系や4系でも同様の問題が起きないとは言い切れないと思われます。 (2系に比べて3系や4系では同様の問題は起きにくいと思いますが) 攻撃の手口や事例は様々なパターンがあるかと思いますが 弊社でお客様に特に注意している事例として、以下の2点があります。 ・管理画面のURLを/admin等単純な単語のままで利用しない ・wordpress等他アプリケーションと同じDBを利用しない(接続情報を共有しない) 特に管理画面のurlを/adminのような単純な単語で設定した場合、 https://******.jp/admin/ 等、適当にURLを入力して管理画面へのログインページにたまたまアクセスできてしまいます。 (わざわざログインページを探している人[攻撃者]はネット上には沢山います) ログインページが表示された後は、ログインIDとパスワードを総当たりで入力していけば、いつか管理画面にログインできてしまいます。 (総当たりとは、aaaaaaaa,aaaaaaab,aaaaaaacと1文字ずつ文字を変えながら何万回と入力を繰り返す行為です) 管理画面にログインできれば、テンプレートファイルの編集が可能となりますので 改ざん用のJavascriptは簡単に書き込む事が可能です。 これは2系だけに限らず、すべてのバージョンで攻撃を受ける可能性があります。 上記の理由からログインページへのアクセスを防ぐ為に デフォルトの/adminや単純な単語で設定するのを止めましょうと徹底しています。 管理画面に侵入されてテンプレートファイルを改ざんされるパターンは 2系、3系、4系関係無く全てのECCUBEに対して行える攻撃かと思います。 (3.0.17や4系はインストール時に/adminのままではインストール完了できない仕様となっておりますので 多少は安全かと思いますが...) リンク先のPDFでも管理画面へのアクセスについて記載(2P 3.4.の項目)があります。 実際にECCUBEを運用しているサイトのアクセスログを確認すると https://******.jp/admin/ https://******.jp/admin123/ https://******.jp/admin123456/ https://******.jp/phpmyadmin/ https://******.jp/wp-login/ 等、大量のアクセスが海外、国内問わず、毎日記録されています。 海外からのアクセスはECCUBEを狙っているというよりphpMyAdminやwordpressへのログインを狙ったアクセスが多いです。 (世界的にみればECCUBEを利用したサイトよりphpMyAdminやwordpressを利用したサイトのほうが圧倒的に多い為、 ターゲットとして効率が良いのだと思います) これが2つ目の理由になりますが wordpressのような世界的に利用者の多いアプリケーションは脆弱性を狙われる可能性も高まり、 サーバやデータベースを共有していた場合、別アプリケーションからECCUBEの改ざん等を行われる可能性があります。 他にも色々なパターンがあると思いますので、これをしておけば絶対安全という事はないと思いますが 出来るだけ改ざんを受ける可能性を減らす、改ざんされてもすぐに発見できる対策を行う事が大切かと思います。
|
vaio15 |
投稿日時: 2020/1/9 11:38
対応状況: −−−
|
半人前 登録日: 2018/5/11 居住地: 札幌 投稿: 28 |
Re: サイト改ざんによるクレジットカード流出被害について ありがとうございます。
ログインされるとそのような行為ができるのですか。 決済プラグインの問題かと思ってました。 ・管理画面のURLを/admin等単純な単語のままで利用しない ・wordpress等他アプリケーションと同じDBを利用しない(接続情報を共有しない) これについては大丈夫だと思いますが。 |
nanasess |
投稿日時: 2020/1/9 11:52
対応状況: −−−
|
神 登録日: 2006/9/9 居住地: 投稿: 2313 |
Re: サイト改ざんによるクレジットカード流出被害について 管理画面の URL を admin から変更するよりも、以下を外部から閲覧できないようにすることの方が重要です。
- 2系は data ディレクトリ - 3系は app ディレクトリ - 4系は var ディレクトリ これらが露出していると、いくら管理画面の URL を変更しても無意味になってしまいます。。。 数年前から勉強会などで何度も言っているのですが、管理画面の URL 変更が重要視され、こちらが軽視される傾向にありますのでご注意ください。 (個人的には管理画面のURLを変更しても、推測する方法はいろいろあるため、根本的な対策ではなくリスクヘッジとしてとらえた方が良いと思っています。) 特に3系の場合で、html を無くすカスタマイズをされている方は、不用意に露出してしまう場合がありますのでご注意ください。 何度も言いますが、管理画面の URL 変更よりも、上記のディレクトリを外部から閲覧されないようくれぐれもご注意ください。 |
eccube_admin |
投稿日時: 2020/1/9 12:58
対応状況: −−−
|
管理人 登録日: 2006/9/6 居住地: 投稿: 157 |
Re: サイト改ざんによるクレジットカード流出被害について セキュリティ関連事項でもございますし、こちらからも回答させていただきます。
まず、2018年冬から現在までに発生している事案で、弊社(株式会社イーシーキューブ)にて把握している同様の事案はすべて2.13以前の事例でございました。(現状では3系、4系での報告はございません。) また、その大多数が data ディレクトリやログファイルのような公開されるべきでないディレクトリやファイルが公開されていた事が起因と推定されております。 その他、公開済の脆弱性の修正漏れ、脆弱性が確認されたプラグインの更新漏れ、同居しているアプリケーションの不備やカスタマイズの不備等、それぞれに起因する事例があると思われますが、現状は特定のものが原因であるということは確認できておりません。 残念ながら、発生している事案すべてにおいて、その原因や環境などの情報が公開されるわけではないため、上記はあくまで現時点においてイーシーキューブ社が被害サイトの公開情報や、決済事業者、インテグレートパートナーなどへのヒアリングから把握できている範囲においての情報になりますので、ご了承ください。 また、国外の著名なCMSの利用サイトにおいて同様に設定の不備や過去の脆弱性などをついた攻撃事例や、最近ではクラウド型のECサービスでも発生していることからもわかるように、EC-CUBEの特定のバージョンであれば大丈夫というものでもありません。 ですので、基本的にはどのバージョンでもセキュリティに関しては注視していただく分野であることは付け加えさせていただきます。 参考) https://internet.watch.impress.co.jp/docs/news/1227863.html まず、EC-CUBEご利用の皆様においては、オフィシャルサイトのニュース( https://www.ec-cube.net/news/detail.php?news_id=348 )にありますように、ご利用の状況にあわせて適切な設定や公開済みの脆弱性への対応、その他利用環境にあわせた対策が行われているかをご確認いただきたく思います。 ご自身や周辺の方で確認が難しい場合には、セキュリティ専門企業など有識者へのご依頼もご検討ください。 内容によっては有償となるケースもございますが、まずは無償で提供いただいております簡易診断からでも、御相談くださいませ。 本スレッドをご覧の方で、関連事案の情報をお持ちの方がいらっしゃいましたら、イーシーキューブ社 運営チームへ情報提供をお待ちしております。 特に緊急度が高いもの、未知の脆弱性の可能性があるものなどは、情報の混乱を避け関係者へのご迷惑にならないよう一般公開せずに、まずは以下までご連絡いただけますと幸いです。 https://www.ec-cube.net/contact/ 今後も引き続き収集した情報などを元にオフィシャルサイトのニュース、メールマガジン、SNSなどで情報のアップデートを行ってまいりますので、定期的にご確認いただけますようお願い申し上げます。 |
468 |
投稿日時: 2020/1/9 13:52
対応状況: −−−
|
神 登録日: 2008/10/26 居住地: 投稿: 3217 |
Re: サイト改ざんによるクレジットカード流出被害について nanasessさんも返信されておりますが/data等、本来web上に公開してはいけない部分は非公開にするという事は重要です。
弊社のお客様に特に2点ほど注意しているといいましたが 弊社で受けている新規構築案件については、サーバ上へのECCUBEの設置は弊社で必ず行うので 非公開部分は必ず非公開になるように設定済みの状態が前提となります。
|
vaio15 |
投稿日時: 2020/1/9 21:28
対応状況: −−−
|
半人前 登録日: 2018/5/11 居住地: 札幌 投稿: 28 |
Re: サイト改ざんによるクレジットカード流出被害について みなさまへ。
いろいろご意見頂きまして参考にいたします。 ありがとうございます。 |
jacopen |
投稿日時: 2020/1/10 9:06
対応状況: −−−
|
常連 登録日: 2008/7/7 居住地: 投稿: 40 |
Re: サイト改ざんによるクレジットカード流出被害について 引用:
外部から閲覧できないようにするためには、 具体的にどのような対策がありますでしょうか? ご教授いただけますと幸いです。 |
nanasess |
投稿日時: 2020/1/10 10:33
対応状況: −−−
|
神 登録日: 2006/9/9 居住地: 投稿: 2313 |
Re: サイト改ざんによるクレジットカード流出被害について 引用:
Webサーバーでアクセス拒否をすれば大丈夫です。 Apache でしたら、以下のような内容の .htaccess ファイルを該当のディレクトリに入れておけば大丈夫です。
ファイルを設置した後は、該当ディレクトリ内のファイルに直接アクセスして、閲覧できないこと(HTTP Status 401 Forbidden を返す)を必ずご確認ください。 4系の例) https://example.com/var/ https://example.com/var/cache/prod/annotations.map など。ディレクトリだけではなく、直接ファイルにアクセスして確認すること |
coremobile |
投稿日時: 2020/1/10 15:27
対応状況: −−−
|
長老 登録日: 2018/8/30 居住地: 投稿: 186 |
Re: サイト改ざんによるクレジットカード流出被害について すべての防御をしているつもりでもクレジットマスターによる漏洩が頻発しています。
決済会社のモジュールや仕組みのみに頼らず、最低限ですがログイン画面・会員登録画面・クレジットカード入力画面にGoogle reCapture対応はされた方が良いかと思います。 ログイン画面や会員登録画面が登録済みクレジットカード機能がありますので、そこを狙われるケースも頻発しているためです。 |
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |