HOME情報セキュリティ情報セキュリティ対策脆弱性対策「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起

本文を印刷する

情報セキュリティ

「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起

-ウェブサイト運営者は脆弱性対策情報を収集し、バージョンアップを!-

最終更新日 2009年7月27日
掲載日 2009年7月27日

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、オープンソースのECサイト構築パッケージ「EC-CUBE」(開発者:株式会社ロックオン)の脆弱性について、「既に脆弱性対策を施したバージョンが公表されているにも関わらず、未適用のウェブサイトがある」旨の届出が増加していることから、本パッケージを利用しているウェブサイト運営者に対し、迅速なバージョンアップ実施を呼びかけるため、「注意喚起」を発することとしました。

 2009年5月頃から、EC-CUBEを使用している複数のウェブサイトに対して、「開発者から脆弱性対策を実施したバージョンが既に公表されているのにも拘らず、ウェブサイト運営者がそのバージョンを適用していないのではないか?」という旨の届出が増加しています。

 具体的には、2008年11月に公表された「郵便番号自動入力処理でのクロスサイト・スクリプティングの脆弱性(*1)」の修正バージョン未適用の届出が、6月末までに49のウェブサイトに対してありました(図1)。その運営主体別の内訳は、民間企業が45、団体(協会・組合など)が4となっています(図2)。

 IPAでまとめた「2008年のコンピュータ不正アクセス届出状況(*2)」では、実被害があった原因の第1位は「IDやパスワードの管理・設定の不備」で35件(29%)、第2位が「古いバージョンの使用やパッチの未適用」で16件あり、13%を占めています。近年、脆弱性の公表から、その脆弱性を狙った攻撃が発生するまでの間隔が短くなっています。ウェブサイト運営者は、自組織が使用しているソフトウェアの脆弱性対策情報を定期的に収集し、未対策の場合はソフトウェアに修正プログラム(パッチ)を適用する、もしくはソフトウェアをバージョンアップする必要があります。

 なお、脆弱性関連情報の取扱いの効率化を図るため、2009年7月8日の「情報セキュリティ早期警戒パートナーシップガイドラインの改訂(*3)」で、このようなウェブサイトの不適切な運用に関しては、注意喚起などの方法で広く対策実施を促した後に処理を取りやめることとなりました。今後、「EC-CUBE」の古いバージョンの利用によるウェブサイトの脆弱性の届出は受理しますが、取扱いを終了し、統計情報として活用します。

図1.EC-CUBEバージョンアップ未実施の届出件数、図2.運営主体の内訳

1. 「EC-CUBE」の脆弱性について

  EC-CUBEには、2008年11月に公表された「郵便番号自動入力処理でのクロスサイト・スクリプティングの脆弱性」の他、別の箇所にもクロスサイト・スクリプティングの脆弱性が発見されています。

 これらの脆弱性を悪用されると、図3に示すように、ユーザーのウェブブラウザ上で任意のスクリプトを実行されてしまいます。このため、偽ページの表示や、偽情報の流布による混乱、フィッシング詐欺による情報の漏えいなどの可能性があります。

図3.EC-CUBEにおけるクロスサイト・スクリプティングの脆弱性

図3.EC-CUBEにおけるクロスサイト・スクリプティングの脆弱性

 更に、EC-CUBEの「SQLインジェクションの脆弱性(*4)」の脆弱性対策情報も公表されています。図4に示すように、攻撃者からウェブサイトで使用しているデータベースを操作されることで、個人情報の漏えい、ウェブサイトの改ざん、データベースの破壊などの可能性があります。

図4.EC-CUBEにおけるSQLインジェクションの脆弱性

図4.EC-CUBEにおけるSQLインジェクションの脆弱性

2. 対策
2.1 対策方法

 「EC-CUBE」を利用しているウェブサイト運営者は、最新版へのバージョンアップを実施してください。なお、「EC-CUBE」のVer 1系を利用している場合、既にサポートが終了しているため、Ver 2系へのバージョンアップが必要です。

 現時点では2009年7月8日に公開されたEC-CUBE 2.4.1が最新版のため、これ以前のものを使用している場合は、EC-CUBE 2.4.1以降の最新版への更新が必要です。

 最新版へのバージョンアップが難しい場合は、下記のサイトを参考にファイルの修正が必要です。
・株式会社ロックオン 脆弱性一覧:
http://www.ec-cube.net/info/weakness/index.php

 また、新たな脆弱性が公表される可能性がありますので、定期的に開発者の発信する情報を収集し、最新版へのバージョンアップを実施してください。
・株式会社ロックオン リリースノート一覧:
http://www.ec-cube.net/release/index.php

2.2 使用中の「EC-CUBE」のバージョン確認方法

 「EC-CUBE」の管理者は下記の手順により、使用中の「EC-CUBE」のバージョン確認が可能です。

  • 「EC-CUBE」の管理画面にログインする
  • ログイン後に表示されるページ上「システム情報」の「EC-CUBEバージョン」の表示を確認する(図5)

図5.EC-CUBEにおけるバージョン確認画面

図5.EC-CUBEにおけるバージョン確認画面

3.脆弱性対策情報の収集方法

3.1 脆弱性対策情報データベースJVN iPediaの活用

 JVN iPedia( http://jvndb.jvn.jp/ )は、日本国内で使用されているソフトウェア製品の脆弱性対策情報を収集するためのデータベースを目指し、(1)国内のソフトウェア製品開発者が公開した脆弱性対策情報、(2)脆弱性対策情報ポータルサイトJVN(*5)で公表した脆弱性対策情報、(3)米国立標準技術研究所NIST(*6)の脆弱性データベース「NVD(*7)」が公開した脆弱性対策情報の中から情報を収集、翻訳し、2007年4月25日から公開しており、2009年7月現在、7,000件を超える情報を格納しています。

 JVN iPediaでは開発者ごとに公開されている脆弱性対策情報を一か所に集約することで、複数の開発者から情報を収集する手間を省き、効率的な情報収集を可能としています。また、さまざまな組織が公開する情報を横断的に知りたい場合や、特定のソフトウェアに存在する脆弱性について知りたい場合も、図6に示すように、複数の検索条件を指定することにより、効率的に情報を収集することができます(図6をクリックするとJVN iPediaでEC-CUBEを検索した結果が表示されます)。

 さらに、検索結果一覧の中から、概要や影響を受けた時の深刻度、影響を受けるシステム、対策情報などの詳細な脆弱性対策情報が入手できます。

図6.JVN iPediaの脆弱性対策情報の検索機能

図6.JVN iPediaの脆弱性対策情報の検索機能
(図をクリックするとEC-CUBEを検索した結果が表示されます)

3.2 脆弱性対策情報収集ツールMyJVNの活用

 MyJVN( http://jvndb.jvn.jp/apis/myjvn/ )は、JVN iPediaに登録された多数の情報の中から、利用者が、利用者自身に関係する情報のみを効率的に収集できるように、フィルタリング条件設定機能、自動再検索機能、脆弱性対策チェックリスト機能などを有し、2008年10月23日から公開しています。

 図7に示すように、利用者が収集したい製品開発者やソフトウェアなどのフィルタリング条件を一度設定しておけば、その後はMyJVNへアクセスするだけで、設定したソフトウェアの最新の情報だけが自動的に表示され、非常に効率的に情報を収集することができます。

 更に、脆弱性対策が具体的にどこまでできているか確認するための、脆弱性対策チェックリストを出力する機能も有しています。

図7.My JVNの脆弱性対策情報のフィルタリング機能

図7.My JVNの脆弱性対策情報のフィルタリング機能

3.3 パッチ対策の緊急度の評価

 IPAでは脆弱性の深刻度を評価したCVSS(*8)基本値を公表しています。JVN iPediaのCVSS計算ツール(図8)を用いると、各組織での対象製品の利用範囲や、攻撃を受けた場合の被害の大きさなどを考慮し、製品利用者自身が脆弱性への対応を判断ためのCVSS環境値を計算することが可能です。

 この結果を基に、例えばCVSS環境値が7.0以上は緊急にパッチ、4.0以上は月次パッチ、それ以外は定期保守でパッチなど、パッチ対策の緊急度の見極めに活用できます。

図8. JVN iPediaのCVSS計算ツール

図8.JVN iPediaのCVSS計算ツール

脚注

(*1)詳細は次のURLを参照下さい。
http://www.ec-cube.net/info/weakness/weakness.php?id=32

(*2)詳細は次のURLを参照下さい。
http://www.ipa.go.jp/security/txt/2009/documents/2008all-cra.pdf

(*3)情報セキュリティ早期警戒パートナーシップガイドライン。
http://www.ipa.go.jp/security/ciadr/partnership_guide.html

(*4)詳細は次のURLを参照下さい。
http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-000075.html

(*5)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*6)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*7)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*8)共通脆弱性評価システムCVSS v2概説。
http://www.ipa.go.jp/security/vuln/SeverityCVSS2.html

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA セキュリティ センター 山岸/渡辺
Tel:03-5978-7527 Fax:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部広報グループ 横山/大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: 電話番号:03-5978-7503までお問い合わせください。

更新履歴

2009年7月27日 掲載