【EC-CUBE向け無償セキュリティ診断にフォレンジック調査を追加】緊急度「高」脆弱性悪用によるクレジットカード情報流出の事故防止に尽力
PR TIMES / 2021年5月12日 17時15分
クレジットカード情報が抜き取られるクロスサイトスクリプティング(XSS)のセキュリティ被害を防ぐ
株式会社SHIFT SECURITY(本社:東京都港区、代表取締役:松野真一、以下SHIFT SECURITY)は、「EC-CUBE」を運営する株式会社イーシーキューブより発表された「クロスサイトスクリプティング(XSS)の脆弱性の悪用によるクレジットカード情報の流出確認」をうけ、これまで実施していたECサイトの脆弱性診断を無償で請け負う「EC-CUBE向け無償セキュリティ診断」の診断範囲を拡大いたしました。運営するECサイトに十分なセキュリティ対策を行うことが難しい企業のセキュリティ向上に貢献します。
■取り組み開始の背景とSHIFT SECURITYの想い
クレジットカード情報が抜き取られるクロスサイトスクリプティング(XSS)のセキュリティ被害がオープンソースである「EC-CUBE4.0系」を利用した一部ECサイトにおいて発生しています。これらの被害を防ぐためには、ECサイトの運営者が独自に自社サイトの脆弱性を診断するなどのセキュリティ対策を実施する必要があります。しかし、対策を行う場合、一般的には外部のセキュリティ企業に脆弱性診断サービス(以下脆弱性診断)を委託するなどの必要があり、その導入・運用にかかるコストや人員不足から十分な対策を取れない場合もあります。
SHIFT SECURITYは、「笑顔をつくる」という理念のもと、脆弱性診断の専門会社として「コストがかかるためセキュリティ対策に取り組めない企業も救うことは社会的役割の一つである」と定め、2019年5月から現在に至るまで、約150社以上の「EC-CUBE」を利用したECサイトに対して無償で脆弱性診断を行っています。
この度、発覚したクロスサイトスクリプティング(XSS)の脆弱性においても同様に、コストの問題や人員不足、専門知識の不足でセキュリティ対策ができないことによるクレジットカード情報流出の被害拡大を防ぐべく、従来のEC-CUBE向け無償セキュリティ診断に、さらに「フォレンジック調査(攻撃の痕跡確認)」を加えた無償セキュリティ診断の提供を開始しました。
「EC-CUBE※1」をオープンソースとして提供する株式会社イーシーキューブ(本社:大阪府大阪市北区、代表取締役社長:金 陽信、以下 イーシーキューブ)もまた、ユーザーに対する対策案を提供し注意喚起を促しています(※2)。これらの対策を自社内で行うことが難しいユーザーのみなさまは、SHIFT SECURITYの「EC-CUBE向け無償セキュリティ診断」をご依頼ください。
※1 「EC-CUBE(イーシーキューブ)」とは、株式会社イーシーキューブが開発・配布をしている、無料で利用・改変できるEC構築「オープンソース」です。
※2 「EC-CUBE」ニュースページ:【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/11 20:50 更新)(2021/05/11)https://www.ec-cube.net/news/detail.php?news_id=383
■「EC-CUBE向け無償セキュリティ診断」について
無償セキュリティ診断では「脆弱性診断」と「フォレンジック調査(攻撃の痕跡確認)」の二種類をご用意しています。
◇脆弱性診断
過去のEC-CUBEの脆弱性に加え、今回のクロスサイトスクリプティング(XSS)の脆弱性が確認されているEC-CUBE「4.0.0~4.0.5」のバージョンがサイトに活用されていないかを診断いたします。これにより運営サイトがクロスサイトスクリプティング(XSS)における脆弱性対象であるかどうか判断が可能です。診断にはEC-CUBEのURLが必要となります。
◇フォレンジック調査(攻撃の痕跡確認)
今回、確認されたクロスサイトスクリプティング(XSS)の脆弱性により攻撃をうけていたかどうか「攻撃の痕跡有無」を調査いたします。調査には「EC-CUBEのアクセスログのご提供」が必要となります。
無償セキュリティ診断は最短翌営業日までにメールにて診断結果をご報告いたします。
・正式名称:EC-CUBE向け無償セキュリティ診断
・開始時期:2021年5月から提供開始
・診断範囲:EC-CUBEに特化したクレジットカード流出被害に関連する脆弱性
・診断フロー:1.フォームから申し込み → 2.診断 → 3.メールにて結果報告 → 4.調査(任意)
・診断お申込みフォーム: https://www.shiftsecurity.jp/eccube/
SHIFTSECURITYは、これからもさまざまな活動を通じてソフトウェアを誰もが安心・安全に使える社会の実現に貢献していきます。
【会社概要】
・社名 :株式会社SHIFT SECURITY
・代表取締役:松野 真一
・設立 :2016年6月
・本社所在地:〒106-0041 東京都港区麻布台2-4-5 メソニック39MTビル
・事業内容 :脆弱性診断、セキュリティ監視、コンサルティング
・Webサイト:https://www.shiftsecurity.jp/
SHIFT SECURITYは、IT業界の脆弱性改善と付加価値の向上を目指して2016年に設立しました。グループ本体となる株式会社SHIFT(本社:東京都港区、代表取締役社長:丹下 大、東証マザーズ:3697)が持つ、テストの標準化ノウハウを活用し、それまで業界では不可能だとされていた非属人的な脆弱性診断を、業務の徹底的な分解・仕組化によって成功させ、年々深刻化する国内ソフトウェア業界のセキュリティ人材不足の解消と、安定的かつ低コストのセキュリティサービスの提供を実現しています。
■本件に関するお問い合わせ
【本サービスに関するお問い合せ先】
株式会社SHIFT SECURITY
TEL:0120-142-117
E-mail: info@shiftsecurity.jp
*本ニュースリリースに記載された内容は発表日現在のものです。その後予告なしに変更されることがあります。
以上
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
SHIFT SECURITY、生成AI固有のセキュリティリスクを可視化する「生成AI活用システム診断」をリリース
PR TIMES / 2024年4月16日 9時0分
-
フォージビジョン、株式会社SHIFT SECURITYと業務提携
PR TIMES / 2024年4月3日 13時40分
-
ChatGPTのカスタム指示を悪用したプロンプトインジェクション攻撃の手法
マイナビニュース / 2024年4月2日 11時51分
-
Microsoft Edgeに拡張機能を秘密裏にインストールできる脆弱性
マイナビニュース / 2024年3月29日 15時52分
-
1秒間に23回ものサイバー攻撃を検知 2023年1月~12月の『Webアプリケーションへのサイバー攻撃検知レポート』を発表
Digital PR Platform / 2024年3月29日 11時0分
ランキング
-
1サイゼリヤ、ギリギリ「国内黒字化」も残る難題 国内事業の利益率0.05%、値上げなしで大丈夫か
東洋経済オンライン / 2024年4月24日 7時30分
-
2山手線沿線の再開発が進む 「新宿、渋谷、品川」駅の工事はいつ終わるのか
ITmedia ビジネスオンライン / 2024年4月25日 7時10分
-
3イトーヨーカドー、祖業のアパレル復活なるか アダストリアとの新ブランドが生んだ“相乗効果”
ITmedia ビジネスオンライン / 2024年4月25日 10時0分
-
4アキレス、シューズの国内生産終了へ コスト増や少子化など背景
ロイター / 2024年4月25日 16時27分
-
5過度の変動望ましくない、動向注視し万全の対応行う=円安で官房長官
ロイター / 2024年4月25日 11時35分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください