2015年4月4日土曜日

試行錯誤しながらEC-CUBEでECサイトを構築した方向けのセキュリティアドバイス

SYSTEM_KDです。

久々のEC-CUBEネタですが、「脆弱性が発見された」だの「個人情報が流出された」だのなかなか恐ろしいニュースを目にする機会が増えてきているかと思いますが、あなたのECサイトは大丈夫ですか? と言う話です。

ほとんどの方が専門の業者さんへECサイトの構築依頼をされているかと思いますが、中にはご自身でネットを見ながらEC-CUBEを構築してみましたと言う方がいらっしゃるかと思います。

上記の様な方は、構築を専属で行っている方ではないので、セキュリティなどの部分にそんなに精通していないのではないかと思います。
EC-CUBEは、オープンソースなので、ネットや本を見ながら簡単にECサイトが構築できてしまうEC-CUBEのちょっと恐ろしい点かと思います。

前置きはさておき、EC-CUBEで構築したECサイトでお客さんの個人情報を扱う上で、最小限これは見ておいた方が良いのではないかと思う部分を、一言アドバイス程度で、上げたいと思います。

 

脆弱性のパッチ適用確認

人が作ったソフトウェアには必ず脆弱性(セキュリティ上の不具合)が存在しますし、もちろんEC-CUBEも例外ではありません。

それを修正する方法が公式サイトのこのページで公開されておりますので、自分で構築を行われた方は、注意して確認を行い、導入しているEC-CUBEで脆弱性パッチが公開された場合は、適用を行うようにしてください。

 

サーバでの構築方法についての確認

EC-CUBEでサイトを構築した際に、レンタルサーバを借りて、ああでもないこうでもないと、試行錯誤しながらインストールされた方は、気をつけておくべき点になります。

EC-CUBEで構築した、ご自身のECサイトにアクセスする際、

http://ドメイン/data/

でエラーが発生せず真っ白いページにアクセスできるようになっていませんか?

アクセスできる場合は、要注意(というかアウト)です。

その状態は、本来公開を行ってはいけない「data」フォルダが公開状態になっております。

具体的に何がまずいかと言いますと、data/logs の配下へEC-CUBEのログが出力されておりますが、このログ内容がインタネット上で公開されている状態です。

まれに、ログへ個人情報が出力されている場合がありますので、早急に必要な対策を施して下さい。

 

出力されているログの内容について

ログ情報つながりなのですが、クレジットカードを利用できるようにするため、決済モジュールを導入されている方は、確認した方が良い部分になります。

先程も、記述しました通り、EC-CUBEのログは基本的に data/logs に出力されるようになっているのですが、決済モジュールのログ情報も基本的には、この場所へ出力されるようになっております。

決済モジュールには導入の手助け用(開発者用)として、画面で入力された情報をログへ出力するような機能を有している場合があります。

試行錯誤しながら決済モジュールを導入された場合などは、この開発者モードをONにしたまま忘れてしまっていることがあるかもしれません。

その場合は、ログへカード番号、有効期限、名義人名等々が出力され、まさにEC-CUBE上でカード情報を暗号化なしの状態で保持してしまっている状態になります。

万が一、不正アクセスをされた日には目もあてられませんので、早急に対策を施す必要があります。

 

まとめ

簡単ではありますが、セキュリティ関連でのアドバイスになります。

ネットの情報をもとに、自力でECサイトを構築することができる、状態にありますが、セキュリティ関連にはしっかりと気を配りたいところですね。

まぁ心配になった方は、専門の業者に聞いてみるのが一番ですね。

0 件のコメント:

コメントを投稿