SHIFT SECURITY「EC-CUBE 無償セキュリティ診断」にフォレンジックを追加、XSS脆弱性の悪用に対応
株式会社SHIFT SECURITYは5月12日、2019年から同社が提供してきた「EC-CUBE向け無償セキュリティ診断」の診断範囲の拡大を発表した。
製品・サービス・業界動向
新製品・新サービス
「EC-CUBE」を運営する株式会社イーシーキューブでは5月7日に、「クロスサイトスクリプティング(XSS)の脆弱性の悪用によるクレジットカード情報の流出確認」を発表、イーシーキューブ社では既に複数サイトでの攻撃を確認しており、緊急度が非常に高い脆弱性として注意を呼びかけていた。
SHIFT SECURITYは2019年5月から現在に至るまで、約150社以上の「EC-CUBE」を利用したECサイトに対し無償で脆弱性診断を行ってきた。今回のクロスサイトスクリプティング(XSS)の脆弱性発生の事態を受け、「EC-CUBE向け無償セキュリティ診断」に、さらに「フォレンジック調査(攻撃の痕跡確認)」を加えた無償セキュリティ診断の提供を開始する。
「EC-CUBE におけるクロスサイトスクリプティングの脆弱性」が公表されると同社の「EC-CUBE向け無償セキュリティ診断」に依頼が多数寄せられたが、いずれのケースも「被害が発生しているのかいないのか確証が欲しい」という要望が多く、攻撃痕跡確認をも無償診断の範囲に加えることを当日決定した。そのためフォレンジックといっても、クレジットカード情報漏えい等の際に安くとも数百万円、短くても数週間程度かけて行うフォレンジックとはサービスの範囲も粒度も全く異なる。攻撃で被害が起こっているかどうかのみだ。
「EC-CUBE向け無償セキュリティ診断」は、「脆弱性診断」と「フォレンジック調査(攻撃の痕跡確認)」の2つあり、「脆弱性診断」は過去のEC-CUBEの脆弱性に加え、今回のクロスサイトスクリプティング(XSS)の脆弱性が確認されているEC-CUBE「4.0.0~4.0.5」のバージョンがサイトに活用されていないか診断する。「フォレンジック調査(攻撃の痕跡確認)」ではクロスサイトスクリプティング(XSS)の脆弱性により攻撃をうけていたかどうか「攻撃の痕跡有無」を調査する。
「EC-CUBE向け無償セキュリティ診断」は、同社の「EC-CUBE向け無償セキュリティ診断」専用フォームから申込を受け付けている。診断後はメールにて結果報告を行う。
《ScanNetSecurity》
関連記事
![彷彿 Stuxnet/セキュリティ業界資金調達史上最高/サプライチェーン対処ベストプラクティス ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/34318.jpg)
この記事の写真
/
関連リンク
特集
アクセスランキング
-
訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績
-
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
-
LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
-
Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に
-
セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多
-
NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず
-
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR
-
笛吹市商工会へのサポート詐欺被害、調査結果公表
-
「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に
-
情報処理学会、高等学校情報科の全教科書の用語リスト公開