脆弱性診断のコストや人員不足の問題を解決

同社は脆弱性診断の専門会社として、2019年5月から約150社以上の「EC-CUBE」を利用したECサイトに対して無償で診断を行っている。診断範囲の拡大で、十分なセキュリティ対策を行うことが難しい企業のセキュリティ向上に貢献したいとしている。

同社によると、クレジットカード情報が抜き取られるXSSのセキュリティ被害が、オープンソースの「EC-CUBE4.0系」を利用した一部ECサイトで発生。被害を防ぐには、サイト運営者が独自に自社サイトの脆弱性を診断するなどのセキュリティ対策が必要だ。しかし、対策には外部企業に脆弱性診断サービスを委託することが一般的で、導入と運用にかかるコストや人員不足から十分な対策を取れない場合もあるという。

「EC-CUBE向け無償セキュリティ診断」利用を呼びかけ

発覚したXSSの脆弱性も同様に、コストの問題や人員不足、専門知識の不足でセキュリティ対策ができないことによる被害拡大を防ぐため、従来のEC-CUBE向け無償セキュリティ診断に、さらに「フォレンジック調査」を加えた無償診断の提供を開始した。

イーシーキューブは「緊急度が非常に高い脆弱性」として、ユーザーに緊急対応のための対策案を提供し、注意喚起を促している。さらに更新情報や脆弱性対応への最新情報は公式Twitterで発信している。SHIFT SECURITYでは、これらの対策を自社内で行うことが難しいユーザーに対し、「EC-CUBE向け無償セキュリティ診断」の依頼を呼びかけている。

無償セキュリティ診断は「脆弱性診断」と「フォレンジック調査」の2種類。「脆弱性診断」では、過去のEC-CUBEの脆弱性に加え、今回のXSSの脆弱性が確認されているEC-CUBE「4.0.0～4.0.5」のバージョンがサイトに活用されていないかを診断。「フォレンジック調査」では攻撃の痕跡の有無を調べる。診断フローは、フォームから申し込み→診断→メールで結果報告→調査（任意）。診断は最短翌営業日までに結果を報告する。

■『診断申込みフォーム』
https://www.shiftsecurity.jp/eccube/