SHIFT SECURITY「EC-CUBE 無償セキュリティ診断」にフォレンジックを追加、XSS脆弱性の悪用に対応 | ScanNetSecurity
2024.07.17(水)

SHIFT SECURITY「EC-CUBE 無償セキュリティ診断」にフォレンジックを追加、XSS脆弱性の悪用に対応

株式会社SHIFT SECURITYは5月12日、2019年から同社が提供してきた「EC-CUBE向け無償セキュリティ診断」の診断範囲の拡大を発表した。

製品・サービス・業界動向 新製品・新サービス
SHIFT SECURITY「EC-CUBE 無償セキュリティ診断」にフォレンジックを追加、XSS脆弱性の悪用に対応
SHIFT SECURITY「EC-CUBE 無償セキュリティ診断」にフォレンジックを追加、XSS脆弱性の悪用に対応 全 1 枚 拡大写真
株式会社SHIFT SECURITYは5月12日、2019年から同社が提供してきた「EC-CUBE向け無償セキュリティ診断」の診断範囲の拡大を発表した。

「EC-CUBE」を運営する株式会社イーシーキューブでは5月7日に、「クロスサイトスクリプティング(XSS)の脆弱性の悪用によるクレジットカード情報の流出確認」を発表、イーシーキューブ社では既に複数サイトでの攻撃を確認しており、緊急度が非常に高い脆弱性として注意を呼びかけていた。

SHIFT SECURITYは2019年5月から現在に至るまで、約150社以上の「EC-CUBE」を利用したECサイトに対し無償で脆弱性診断を行ってきた。今回のクロスサイトスクリプティング(XSS)の脆弱性発生の事態を受け、「EC-CUBE向け無償セキュリティ診断」に、さらに「フォレンジック調査(攻撃の痕跡確認)」を加えた無償セキュリティ診断の提供を開始する。

「EC-CUBE におけるクロスサイトスクリプティングの脆弱性」が公表されると同社の「EC-CUBE向け無償セキュリティ診断」に依頼が多数寄せられたが、いずれのケースも「被害が発生しているのかいないのか確証が欲しい」という要望が多く、攻撃痕跡確認をも無償診断の範囲に加えることを当日決定した。そのためフォレンジックといっても、クレジットカード情報漏えい等の際に安くとも数百万円、短くても数週間程度かけて行うフォレンジックとはサービスの範囲も粒度も全く異なる。攻撃で被害が起こっているかどうかのみだ。

「EC-CUBE向け無償セキュリティ診断」は、「脆弱性診断」と「フォレンジック調査(攻撃の痕跡確認)」の2つあり、「脆弱性診断」は過去のEC-CUBEの脆弱性に加え、今回のクロスサイトスクリプティング(XSS)の脆弱性が確認されているEC-CUBE「4.0.0~4.0.5」のバージョンがサイトに活用されていないか診断する。「フォレンジック調査(攻撃の痕跡確認)」ではクロスサイトスクリプティング(XSS)の脆弱性により攻撃をうけていたかどうか「攻撃の痕跡有無」を調査する。

「EC-CUBE向け無償セキュリティ診断」は、同社の「EC-CUBE向け無償セキュリティ診断」専用フォームから申込を受け付けている。診断後はメールにて結果報告を行う。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ

    2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ

  2. 本誌 ScanNetSecurity、Black Hat USA 2024 のプレス登録に落選

    本誌 ScanNetSecurity、Black Hat USA 2024 のプレス登録に落選PR

  3. 浪江町職員が不正アクセスで逮捕

    浪江町職員が不正アクセスで逮捕

  4. イセトーへのランサムウェア攻撃で日本生命保険の個人情報が漏えい

    イセトーへのランサムウェア攻撃で日本生命保険の個人情報が漏えい

  5. ユニテックフーズに不正アクセス、サーバ上のファイルの拡張子が書き換えられる

    ユニテックフーズに不正アクセス、サーバ上のファイルの拡張子が書き換えられる

  6. 新日本製薬にランサムウェア攻撃、全ての業務は通常通り稼働

    新日本製薬にランサムウェア攻撃、全ての業務は通常通り稼働

  7. 日本生命保険の元社員を威力業務妨害の容疑で逮捕

    日本生命保険の元社員を威力業務妨害の容疑で逮捕

  8. わずか 22.9 % ~ ランサムウェア身代金「支払いは行わない」方針でルール化

    わずか 22.9 % ~ ランサムウェア身代金「支払いは行わない」方針でルール化

  9. 日本プルーフポイント増田幸美のセキュリティ情報プレゼンテーション必勝ノウハウ

    日本プルーフポイント増田幸美のセキュリティ情報プレゼンテーション必勝ノウハウPR

  10. パルグループのサーバに不正アクセス、ポイント反映に影響

    パルグループのサーバに不正アクセス、ポイント反映に影響

ランキングをもっと見る