質問 > その他 > サイト改ざんによるクレジットカード流出被害について |
その他
フラット表示 | 前のトピック | 次のトピック |
投稿者 | スレッド |
---|---|
468 |
投稿日時: 2020/1/9 11:13
対応状況: −−−
|
神 登録日: 2008/10/26 居住地: 投稿: 3217 |
Re: サイト改ざんによるクレジットカード流出被害について 2系以外のECCUBEでの事例の有無については分かりませんが
該当PDFでは特にECCUBE2系に対して注意喚起されておりますが、 3系や4系でも同様の問題が起きないとは言い切れないと思われます。 (2系に比べて3系や4系では同様の問題は起きにくいと思いますが) 攻撃の手口や事例は様々なパターンがあるかと思いますが 弊社でお客様に特に注意している事例として、以下の2点があります。 ・管理画面のURLを/admin等単純な単語のままで利用しない ・wordpress等他アプリケーションと同じDBを利用しない(接続情報を共有しない) 特に管理画面のurlを/adminのような単純な単語で設定した場合、 https://******.jp/admin/ 等、適当にURLを入力して管理画面へのログインページにたまたまアクセスできてしまいます。 (わざわざログインページを探している人[攻撃者]はネット上には沢山います) ログインページが表示された後は、ログインIDとパスワードを総当たりで入力していけば、いつか管理画面にログインできてしまいます。 (総当たりとは、aaaaaaaa,aaaaaaab,aaaaaaacと1文字ずつ文字を変えながら何万回と入力を繰り返す行為です) 管理画面にログインできれば、テンプレートファイルの編集が可能となりますので 改ざん用のJavascriptは簡単に書き込む事が可能です。 これは2系だけに限らず、すべてのバージョンで攻撃を受ける可能性があります。 上記の理由からログインページへのアクセスを防ぐ為に デフォルトの/adminや単純な単語で設定するのを止めましょうと徹底しています。 管理画面に侵入されてテンプレートファイルを改ざんされるパターンは 2系、3系、4系関係無く全てのECCUBEに対して行える攻撃かと思います。 (3.0.17や4系はインストール時に/adminのままではインストール完了できない仕様となっておりますので 多少は安全かと思いますが...) リンク先のPDFでも管理画面へのアクセスについて記載(2P 3.4.の項目)があります。 実際にECCUBEを運用しているサイトのアクセスログを確認すると https://******.jp/admin/ https://******.jp/admin123/ https://******.jp/admin123456/ https://******.jp/phpmyadmin/ https://******.jp/wp-login/ 等、大量のアクセスが海外、国内問わず、毎日記録されています。 海外からのアクセスはECCUBEを狙っているというよりphpMyAdminやwordpressへのログインを狙ったアクセスが多いです。 (世界的にみればECCUBEを利用したサイトよりphpMyAdminやwordpressを利用したサイトのほうが圧倒的に多い為、 ターゲットとして効率が良いのだと思います) これが2つ目の理由になりますが wordpressのような世界的に利用者の多いアプリケーションは脆弱性を狙われる可能性も高まり、 サーバやデータベースを共有していた場合、別アプリケーションからECCUBEの改ざん等を行われる可能性があります。 他にも色々なパターンがあると思いますので、これをしておけば絶対安全という事はないと思いますが 出来るだけ改ざんを受ける可能性を減らす、改ざんされてもすぐに発見できる対策を行う事が大切かと思います。
|
フラット表示 | 前のトピック | 次のトピック |
題名 | 投稿者 | 日時 |
---|---|---|
サイト改ざんによるクレジットカード流出被害について | vaio15 | 2020/1/8 17:11 |
» Re: サイト改ざんによるクレジットカード流出被害について | 468 | 2020/1/9 11:13 |
Re: サイト改ざんによるクレジットカード流出被害について | vaio15 | 2020/1/9 11:38 |
Re: サイト改ざんによるクレジットカード流出被害について | nanasess | 2020/1/9 11:52 |
Re: サイト改ざんによるクレジットカード流出被害について | jacopen | 2020/1/10 9:06 |
Re: サイト改ざんによるクレジットカード流出被害について | nanasess | 2020/1/10 10:33 |
Re: サイト改ざんによるクレジットカード流出被害について | 468 | 2020/1/9 13:52 |
Re: サイト改ざんによるクレジットカード流出被害について | vaio15 | 2020/1/9 21:28 |
Re: サイト改ざんによるクレジットカード流出被害について | eccube_admin | 2020/1/9 12:58 |
Re: サイト改ざんによるクレジットカード流出被害について | coremobile | 2020/1/10 15:27 |