【EC-CUBE向け無償セキュリティ診断にフォレンジック調査を追加】緊急度「高」脆弱性悪用によるクレジットカード情報流出の事故防止に尽力

クレジットカード情報が抜き取られるクロスサイトスクリプティング(XSS)のセキュリティ被害を防ぐ

株式会社SHIFT SECURITY(本社:東京都港区、代表取締役:松野真一、以下SHIFT SECURITY)は、「EC-CUBE」を運営する株式会社イーシーキューブより発表された「クロスサイトスクリプティング(XSS)の脆弱性の悪用によるクレジットカード情報の流出確認」をうけ、これまで実施していたECサイトの脆弱性診断を無償で請け負う「EC-CUBE向け無償セキュリティ診断」の診断範囲を拡大いたしました。運営するECサイトに十分なセキュリティ対策を行うことが難しい企業のセキュリティ向上に貢献します。
■取り組み開始の背景とSHIFT SECURITYの想い
クレジットカード情報が抜き取られるクロスサイトスクリプティング(XSS)のセキュリティ被害がオープンソースである「EC-CUBE4.0系」を利用した一部ECサイトにおいて発生しています。これらの被害を防ぐためには、ECサイトの運営者が独自に自社サイトの脆弱性を診断するなどのセキュリティ対策を実施する必要があります。しかし、対策を行う場合、一般的には外部のセキュリティ企業に脆弱性診断サービス(以下脆弱性診断)を委託するなどの必要があり、その導入・運用にかかるコストや人員不足から十分な対策を取れない場合もあります。

SHIFT SECURITYは、「笑顔をつくる」という理念のもと、脆弱性診断の専門会社として「コストがかかるためセキュリティ対策に取り組めない企業も救うことは社会的役割の一つである」と定め、2019年5月から現在に至るまで、約150社以上の「EC-CUBE」を利用したECサイトに対して無償で脆弱性診断を行っています。

この度、発覚したクロスサイトスクリプティング(XSS)の脆弱性においても同様に、コストの問題や人員不足、専門知識の不足でセキュリティ対策ができないことによるクレジットカード情報流出の被害拡大を防ぐべく、従来のEC-CUBE向け無償セキュリティ診断に、さらに「フォレンジック調査(攻撃の痕跡確認)」を加えた無償セキュリティ診断の提供を開始しました。 

「EC-CUBE※1」をオープンソースとして提供する株式会社イーシーキューブ(本社:大阪府大阪市北区、代表取締役社長:金 陽信、以下 イーシーキューブ)もまた、ユーザーに対する対策案を提供し注意喚起を促しています(※2)。これらの対策を自社内で行うことが難しいユーザーのみなさまは、SHIFT SECURITYの「EC-CUBE向け無償セキュリティ診断」をご依頼ください。

※1 「EC-CUBE(イーシーキューブ)」とは、株式会社イーシーキューブが開発・配布をしている、無料で利用・改変できるEC構築「オープンソース」です。
※2 「EC-CUBE」ニュースページ:【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/11 20:50 更新)(2021/05/11)https://www.ec-cube.net/news/detail.php?news_id=383

■「EC-CUBE向け無償セキュリティ診断」について
無償セキュリティ診断では「脆弱性診断」と「フォレンジック調査(攻撃の痕跡確認)」の二種類をご用意しています。

◇脆弱性診断
過去のEC-CUBEの脆弱性に加え、今回のクロスサイトスクリプティング(XSS)の脆弱性が確認されているEC-CUBE「4.0.0〜4.0.5」のバージョンがサイトに活用されていないかを診断いたします。これにより運営サイトがクロスサイトスクリプティング(XSS)における脆弱性対象であるかどうか判断が可能です。診断にはEC-CUBEのURLが必要となります。

◇フォレンジック調査(攻撃の痕跡確認)
今回、確認されたクロスサイトスクリプティング(XSS)の脆弱性により攻撃をうけていたかどうか「攻撃の痕跡有無」を調査いたします。調査には「EC-CUBEのアクセスログのご提供」が必要となります。
無償セキュリティ診断は最短翌営業日までにメールにて診断結果をご報告いたします。

・正式名称:EC-CUBE向け無償セキュリティ診断
・開始時期:2021年5月から提供開始
・診断範囲:EC-CUBEに特化したクレジットカード流出被害に関連する脆弱性
・診断フロー:①フォームから申し込み → ②診断 → ③メールにて結果報告 → ④調査(任意)
・診断お申込みフォーム: https://www.shiftsecurity.jp/eccube/
SHIFTSECURITYは、これからもさまざまな活動を通じてソフトウェアを誰もが安心・安全に使える社会の実現に貢献していきます。

【会社概要】
・社名   :株式会社SHIFT SECURITY
・代表取締役:松野 真一
・設立   :2016年6月
・本社所在地:〒106-0041 東京都港区麻布台2-4-5 メソニック39MTビル
・事業内容 :脆弱性診断、セキュリティ監視、コンサルティング
・Webサイト:https://www.shiftsecurity.jp/

SHIFT SECURITYは、IT業界の脆弱性改善と付加価値の向上を目指して2016年に設立しました。グループ本体となる株式会社SHIFT(本社:東京都港区、代表取締役社長:丹下 大、東証マザーズ:3697)が持つ、テストの標準化ノウハウを活用し、それまで業界では不可能だとされていた非属人的な脆弱性診断を、業務の徹底的な分解・仕組化によって成功させ、年々深刻化する国内ソフトウェア業界のセキュリティ人材不足の解消と、安定的かつ低コストのセキュリティサービスの提供を実現しています。

■本件に関するお問い合わせ
【本サービスに関するお問い合せ先】
株式会社SHIFT SECURITY
TEL:0120-142-117
E-mail: info@shiftsecurity.jp

*本ニュースリリースに記載された内容は発表日現在のものです。その後予告なしに変更されることがあります。

以上
※以下、メディア関係者限定の特記情報です。個人のSNS等での情報公開はご遠慮ください。
このプレスリリースには、メディア関係者向けの情報があります。

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。
※内容はプレスリリースにより異なります。

  1. プレスリリース >
  2. 株式会社SHIFT SECURITY >
  3. 【EC-CUBE向け無償セキュリティ診断にフォレンジック調査を追加】緊急度「高」脆弱性悪用によるクレジットカード情報流出の事故防止に尽力