Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

他人事ではないぞ!
ECサイトのセキュリティ強化

880 Aufrufe

Veröffentlicht am

EC-CUBE名古屋ユーザーグループ 勉強会 Vol.67

Veröffentlicht in: Technologie
  • Loggen Sie sich ein, um Kommentare anzuzeigen.

他人事ではないぞ!
ECサイトのセキュリティ強化

  1. 1. 他人事ではないぞ! ECサイトのセキュリティ強化 EC-CUBE名古屋ユーザーグループ Vol.67 大河内健太郎
  2. 2. 自己紹介 名前: 大河内健太郎(@nanasess) 年齢: 42才 出身: 愛知県西尾市一色町 在住: 宝塚市 前職:寿司屋の板前 資格: 調理師・ふぐ処理師 EC-CUBE コミッター・公式エバンジェリスト 最近のマイブーム: 2系のテストを書く
  3. 3. Agenda ネットショップセキュリティの近況ふりかえり クレジットカード番号漏洩事故の手口と原因 本当にやらなきゃいけない対策
  4. 4. ネットショップセキュリティの近 況ふりかえり ヤマダ電機(https://headlines.yahoo.co.jp/hl?a=20190529-00000080- zdn_n-sci) EC-CUBEの注意喚起(https://www.ec- cube.net/news/detail.php?news_id=330) カード番号有効性確認攻撃 (https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/02142/)
  5. 5. 徳丸先生のまとめからふりかえり 2019年1月から5月に公表されたウェブサイトからのクレジ ットカード情報漏えい事件まとめ https://blog.tokumaru.org/2019/05/credit-card-information- leak-incidents-2019-1-5.html
  6. 6. 手口と原因 カード非保持化により、偽の入力フォームを置かれるケー スがほとんど よくセキュリティの第三者機関が調査しているが、根本原 因は公表されない EC-CUBEの中の人も、本当のところの原因はわかってない 非常に悩ましい問題
  7. 7. 懸念していること 根本原因が公表されないので、技術者のセキュリティ認識がアップデ ートされない 声のでかい人が中途半端な知識で中途半端な対策を広めることも よくわからないから(ベンダーにとって)金になる対策が提案されやす い 根本原因に対する対策がおざなりに 予算の関係で何も対策されない悲劇も起こりうる
  8. 8. EC-CUBEにて公表されている 対策の優先順位 1. 改ざんの確認 2. 管理画面の URL 変更 3. 管理画面のアクセス制限 4. 公開ディレクトリの制限 5. CMSのセキュリティ担保
  9. 9. 事故原因から考えた 対策の優先順位 1. 改ざんの確認 2. 管理画面の URL 変更 3. 管理画面のアクセス制限 4. 公開ディレクトリの制限 5. CMSのセキュリティ担 保 1. 公開ディレクトリの制限 2. 改ざんの確認 3. CMSのセキュリティ担 保 4. 管理画面の URL 変更 5. 管理画面のアクセス制限
  10. 10. 事故原因から考えた 対策の優先順位 緊急性・リスクが高く早急に対策可能なものから対策する EC-CUBE4系だから安全というものではない 設置不備があれば穴は空くし、プラグインに脆弱性があるケ ースも十分ある 管理画面のURL変更では守れない 実は他の脆弱性を攻撃されている場合が多い
  11. 11. はたしてどんな対策が有効なの か セキュリティと利便性はトレードオフ 利便性を求めれば、安全性は下がる リテラシーの低い人が使いやすいカード入力フォームは高 リスク(改ざんがバレにくい)
  12. 12. はたしてどんな対策が有効なの か おすすめは ID決済 Amazon Pay / PayPal など 決済サービス側で会員登録するので、改ざんが困難 シングルサインオンでネットショップ側のパスワード不要 (乗っ取りやパスワード漏洩リスク低減) 管理画面もシングルサインオンにすることで不正ログインのリスクが大 幅に低減(Google/Microsoft アカウントと連携させることで2段階認証可 能) EC-CUBE 2系も鋭意開発中
  13. 13. ぜひやっておきたい対策 .htaccess のパーミッションは書込み不可に(444 など) .htaccess が改ざんされる場合も多い。これやられたら管理画 面の隠蔽など意味無し 管理画面からファイルを更新する便利機能は利用せず、Webサー バー権限で書込み不可に FTPやSSHのみのユーザーでのみ更新できるようにすることで 、攻撃リスク低減
  14. 14. フレームワークや PHP の サポート期限気をつけて EC-CUBE4系 Symfony3.4(2021年11月末まで) PHP7.2(RHEL/CentOS のベンダーサポートで数年は大丈夫) EC-CUBE3系 Silex(2018年6月末まで) Symfony2.7(2019年5月末まで) 一応、株式会社イーシーキューブはサポートを表明している EC-CUBE2系 PHP5.4(RHEL/CentOS のベンダーサポートで2024年6月末まで)
  15. 15. セキュリティでお困りのことがあ れば、お気軽にご連絡ください @nanasess
  16. 16. ご静聴ありがとうございました!

×