SlideShare a Scribd company logo

他人事ではないぞ!
ECサイトのセキュリティ強化

Download as PPTX, PDF
Kentaro Ohkouchi
Kentaro Ohkouchi

EC-CUBE名古屋ユーザーグループ 勉強会 Vol.67

Technology
1 of 16
他人事ではないぞ! ECサイトのセキュリティ強化 EC-CUBE名古屋ユーザーグループ Vol.67 大河内健太郎
自己紹介 名前: 大河内健太郎(@nanasess) 年齢: 42才 出身: 愛知県西尾市一色町 在住: 宝塚市 前職:寿司屋の板前 資格: 調理師・ふぐ処理師 EC-CUBE コミッター・公式エバンジェリスト 最近のマイブーム: 2系のテストを書く
Agenda ネットショップセキュリティの近況ふりかえり クレジットカード番号漏洩事故の手口と原因 本当にやらなきゃいけない対策
ネットショップセキュリティの近 況ふりかえり ヤマダ電機(https://headlines.yahoo.co.jp/hl?a=20190529-00000080- zdn_n-sci) EC-CUBEの注意喚起(https://www.ec- cube.net/news/detail.php?news_id=330) カード番号有効性確認攻撃 (https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/02142/)
徳丸先生のまとめからふりかえり 2019年1月から5月に公表されたウェブサイトからのクレジ ットカード情報漏えい事件まとめ https://blog.tokumaru.org/2019/05/credit-card-information- leak-incidents-2019-1-5.html
手口と原因 カード非保持化により、偽の入力フォームを置かれるケー スがほとんど よくセキュリティの第三者機関が調査しているが、根本原 因は公表されない EC-CUBEの中の人も、本当のところの原因はわかってない 非常に悩ましい問題
懸念していること 根本原因が公表されないので、技術者のセキュリティ認識がアップデ ートされない 声のでかい人が中途半端な知識で中途半端な対策を広めることも よくわからないから(ベンダーにとって)金になる対策が提案されやす い 根本原因に対する対策がおざなりに 予算の関係で何も対策されない悲劇も起こりうる
EC-CUBEにて公表されている 対策の優先順位 1. 改ざんの確認 2. 管理画面の URL 変更 3. 管理画面のアクセス制限 4. 公開ディレクトリの制限 5. CMSのセキュリティ担保
事故原因から考えた 対策の優先順位 1. 改ざんの確認 2. 管理画面の URL 変更 3. 管理画面のアクセス制限 4. 公開ディレクトリの制限 5. CMSのセキュリティ担 保 1. 公開ディレクトリの制限 2. 改ざんの確認 3. CMSのセキュリティ担 保 4. 管理画面の URL 変更 5. 管理画面のアクセス制限
事故原因から考えた 対策の優先順位 緊急性・リスクが高く早急に対策可能なものから対策する EC-CUBE4系だから安全というものではない 設置不備があれば穴は空くし、プラグインに脆弱性があるケ ースも十分ある 管理画面のURL変更では守れない 実は他の脆弱性を攻撃されている場合が多い
はたしてどんな対策が有効なの か セキュリティと利便性はトレードオフ 利便性を求めれば、安全性は下がる リテラシーの低い人が使いやすいカード入力フォームは高 リスク(改ざんがバレにくい)
はたしてどんな対策が有効なの か おすすめは ID決済 Amazon Pay / PayPal など 決済サービス側で会員登録するので、改ざんが困難 シングルサインオンでネットショップ側のパスワード不要 (乗っ取りやパスワード漏洩リスク低減) 管理画面もシングルサインオンにすることで不正ログインのリスクが大 幅に低減(Google/Microsoft アカウントと連携させることで2段階認証可 能) EC-CUBE 2系も鋭意開発中
ぜひやっておきたい対策 .htaccess のパーミッションは書込み不可に(444 など) .htaccess が改ざんされる場合も多い。これやられたら管理画 面の隠蔽など意味無し 管理画面からファイルを更新する便利機能は利用せず、Webサー バー権限で書込み不可に FTPやSSHのみのユーザーでのみ更新できるようにすることで 、攻撃リスク低減
フレームワークや PHP の サポート期限気をつけて EC-CUBE4系 Symfony3.4(2021年11月末まで) PHP7.2(RHEL/CentOS のベンダーサポートで数年は大丈夫) EC-CUBE3系 Silex(2018年6月末まで) Symfony2.7(2019年5月末まで) 一応、株式会社イーシーキューブはサポートを表明している EC-CUBE2系 PHP5.4(RHEL/CentOS のベンダーサポートで2024年6月末まで)
セキュリティでお困りのことがあ れば、お気軽にご連絡ください @nanasess
ご静聴ありがとうございました!

Recommended

PHP7.3へのバージョンアップ対策
PHP7.3へのバージョンアップ対策PHP7.3へのバージョンアップ対策
PHP7.3へのバージョンアップ対策
Kentaro Ohkouchi
 
中小ネットショップの 軽減税率対策を学ぼう!
中小ネットショップの 軽減税率対策を学ぼう!中小ネットショップの 軽減税率対策を学ぼう!
中小ネットショップの 軽減税率対策を学ぼう!
Kentaro Ohkouchi
 
ネットショップのアクセス解析超入門
ネットショップのアクセス解析超入門ネットショップのアクセス解析超入門
ネットショップのアクセス解析超入門
Kentaro Ohkouchi
 
EC-CUBEデザインカスタマイズの ベストプラクティス!
EC-CUBEデザインカスタマイズの ベストプラクティス!EC-CUBEデザインカスタマイズの ベストプラクティス!
EC-CUBEデザインカスタマイズの ベストプラクティス!
Kentaro Ohkouchi
 
EC-CUBE と PayPal の縁結び
EC-CUBE と PayPal の縁結びEC-CUBE と PayPal の縁結び
EC-CUBE と PayPal の縁結び
Kentaro Ohkouchi
 
開発者視点で選ぶ「2系」と「3系」。
そして3系の次期バージョン
開発者視点で選ぶ「2系」と「3系」。
そして3系の次期バージョン開発者視点で選ぶ「2系」と「3系」。
そして3系の次期バージョン
開発者視点で選ぶ「2系」と「3系」。
そして3系の次期バージョン
Kentaro Ohkouchi
 
EC-CUBE次期バージョンから、しっかり学ぶ Symfony
EC-CUBE次期バージョンから、しっかり学ぶ SymfonyEC-CUBE次期バージョンから、しっかり学ぶ Symfony
EC-CUBE次期バージョンから、しっかり学ぶ Symfony
Kentaro Ohkouchi
 
EC-CUBE と PayPal は仲良しか?
EC-CUBE と PayPal は仲良しか?EC-CUBE と PayPal は仲良しか?
EC-CUBE と PayPal は仲良しか?
Kentaro Ohkouchi
 

Recommended

PHP7.3へのバージョンアップ対策
PHP7.3へのバージョンアップ対策PHP7.3へのバージョンアップ対策
PHP7.3へのバージョンアップ対策
Kentaro Ohkouchi
 
中小ネットショップの 軽減税率対策を学ぼう!
中小ネットショップの 軽減税率対策を学ぼう!中小ネットショップの 軽減税率対策を学ぼう!
中小ネットショップの 軽減税率対策を学ぼう!
Kentaro Ohkouchi
 
ネットショップのアクセス解析超入門
ネットショップのアクセス解析超入門ネットショップのアクセス解析超入門
ネットショップのアクセス解析超入門
Kentaro Ohkouchi
 
EC-CUBEデザインカスタマイズの ベストプラクティス!
EC-CUBEデザインカスタマイズの ベストプラクティス!EC-CUBEデザインカスタマイズの ベストプラクティス!
EC-CUBEデザインカスタマイズの ベストプラクティス!
Kentaro Ohkouchi
 
EC-CUBE と PayPal の縁結び
EC-CUBE と PayPal の縁結びEC-CUBE と PayPal の縁結び
EC-CUBE と PayPal の縁結び
Kentaro Ohkouchi
 
開発者視点で選ぶ「2系」と「3系」。
そして3系の次期バージョン
開発者視点で選ぶ「2系」と「3系」。
そして3系の次期バージョン開発者視点で選ぶ「2系」と「3系」。
そして3系の次期バージョン
開発者視点で選ぶ「2系」と「3系」。
そして3系の次期バージョン
Kentaro Ohkouchi
 
EC-CUBE次期バージョンから、しっかり学ぶ Symfony
EC-CUBE次期バージョンから、しっかり学ぶ SymfonyEC-CUBE次期バージョンから、しっかり学ぶ Symfony
EC-CUBE次期バージョンから、しっかり学ぶ Symfony
Kentaro Ohkouchi
 
EC-CUBE と PayPal は仲良しか?
EC-CUBE と PayPal は仲良しか?EC-CUBE と PayPal は仲良しか?
EC-CUBE と PayPal は仲良しか?
Kentaro Ohkouchi
 
フロントエンドだけで完結! checkout.js でペイパろう
フロントエンドだけで完結! checkout.js でペイパろうフロントエンドだけで完結! checkout.js でペイパろう
フロントエンドだけで完結! checkout.js でペイパろう
Kentaro Ohkouchi
 
EC-CUBE API プラグイン勉強会
EC-CUBE API プラグイン勉強会EC-CUBE API プラグイン勉強会
EC-CUBE API プラグイン勉強会
Kentaro Ohkouchi
 
EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介
EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介
EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介
Kentaro Ohkouchi
 
EC-CUBE最新情報!3.1開発進捗説明会の報告します!
EC-CUBE最新情報!3.1開発進捗説明会の報告します!EC-CUBE最新情報!3.1開発進捗説明会の報告します!
EC-CUBE最新情報!3.1開発進捗説明会の報告します!
Kentaro Ohkouchi
 
EC-CUBE はいいぞ
EC-CUBE はいいぞEC-CUBE はいいぞ
EC-CUBE はいいぞ
Kentaro Ohkouchi
 
俺、エバンジェリストだけど、 EC-CUBEについて何か聞きたいことある?
俺、エバンジェリストだけど、 EC-CUBEについて何か聞きたいことある?俺、エバンジェリストだけど、 EC-CUBEについて何か聞きたいことある?
俺、エバンジェリストだけど、 EC-CUBEについて何か聞きたいことある?
Kentaro Ohkouchi
 
EC-CUBE をアップロードしよう!
EC-CUBE をアップロードしよう!EC-CUBE をアップロードしよう!
EC-CUBE をアップロードしよう!
Kentaro Ohkouchi
 
超簡単になった EC-CUBE3 のインストール
超簡単になった EC-CUBE3 のインストール超簡単になった EC-CUBE3 のインストール
超簡単になった EC-CUBE3 のインストール
Kentaro Ohkouchi
 
PHPのキャッシュを使いこなせ!
PHPのキャッシュを使いこなせ!PHPのキャッシュを使いこなせ!
PHPのキャッシュを使いこなせ!
Kentaro Ohkouchi
 
EC-CUBE on SQL データベース勉強会
EC-CUBE on SQL データベース勉強会EC-CUBE on SQL データベース勉強会
EC-CUBE on SQL データベース勉強会
Kentaro Ohkouchi
 
よりよい UI/UX を創るためのアクセス解析
よりよい UI/UX を創るためのアクセス解析よりよい UI/UX を創るためのアクセス解析
よりよい UI/UX を創るためのアクセス解析
Kentaro Ohkouchi
 
「UI/UXデザインでサイトを改善しよう」EC-CUBE勉強会 vol.16
「UI/UXデザインでサイトを改善しよう」EC-CUBE勉強会 vol.16「UI/UXデザインでサイトを改善しよう」EC-CUBE勉強会 vol.16
「UI/UXデザインでサイトを改善しよう」EC-CUBE勉強会 vol.16
Kentaro Ohkouchi
 
UI/UXデザインでサイトを改善しよう
UI/UXデザインでサイトを改善しようUI/UXデザインでサイトを改善しよう
UI/UXデザインでサイトを改善しよう
Kentaro Ohkouchi
 
Github と仲良くなろう!
Github と仲良くなろう!Github と仲良くなろう!
Github と仲良くなろう!
Kentaro Ohkouchi
 
Microsoft Azure x EC-CUBE @西浦温泉
Microsoft Azure x EC-CUBE @西浦温泉Microsoft Azure x EC-CUBE @西浦温泉
Microsoft Azure x EC-CUBE @西浦温泉
Kentaro Ohkouchi
 
明日は我が身。他人事ではないECサイトのセキュリティのお話
明日は我が身。他人事ではないECサイトのセキュリティのお話明日は我が身。他人事ではないECサイトのセキュリティのお話
明日は我が身。他人事ではないECサイトのセキュリティのお話
Kentaro Ohkouchi
 
EC-CUBE とクラウドは仲良しか?
EC-CUBE とクラウドは仲良しか?EC-CUBE とクラウドは仲良しか?
EC-CUBE とクラウドは仲良しか?
Kentaro Ohkouchi
 
名古屋 EC-CUBE 勉強会 Vol5
名古屋 EC-CUBE 勉強会 Vol5名古屋 EC-CUBE 勉強会 Vol5
名古屋 EC-CUBE 勉強会 Vol5
Kentaro Ohkouchi
 
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
Kentaro Ohkouchi
 
EC-CUBE 活用セミナー in Hiroshima
EC-CUBE 活用セミナー in HiroshimaEC-CUBE 活用セミナー in Hiroshima
EC-CUBE 活用セミナー in Hiroshima
Kentaro Ohkouchi
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
 

More Related Content

More from Kentaro Ohkouchi

フロントエンドだけで完結! checkout.js でペイパろう
フロントエンドだけで完結! checkout.js でペイパろうフロントエンドだけで完結! checkout.js でペイパろう
フロントエンドだけで完結! checkout.js でペイパろう
Kentaro Ohkouchi
 
Microsoft Azure x EC-CUBE @西浦温泉
Microsoft Azure x EC-CUBE @西浦温泉Microsoft Azure x EC-CUBE @西浦温泉
Microsoft Azure x EC-CUBE @西浦温泉
Kentaro Ohkouchi
 
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
Kentaro Ohkouchi
 

More from Kentaro Ohkouchi (20)

フロントエンドだけで完結! checkout.js でペイパろう
フロントエンドだけで完結! checkout.js でペイパろうフロントエンドだけで完結! checkout.js でペイパろう
フロントエンドだけで完結! checkout.js でペイパろう
 
EC-CUBE API プラグイン勉強会
EC-CUBE API プラグイン勉強会EC-CUBE API プラグイン勉強会
EC-CUBE API プラグイン勉強会
 
EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介
EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介
EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介
 
EC-CUBE最新情報!3.1開発進捗説明会の報告します!
EC-CUBE最新情報!3.1開発進捗説明会の報告します!EC-CUBE最新情報!3.1開発進捗説明会の報告します!
EC-CUBE最新情報!3.1開発進捗説明会の報告します!
 
EC-CUBE はいいぞ
EC-CUBE はいいぞEC-CUBE はいいぞ
EC-CUBE はいいぞ
 
俺、エバンジェリストだけど、 EC-CUBEについて何か聞きたいことある?
俺、エバンジェリストだけど、 EC-CUBEについて何か聞きたいことある?俺、エバンジェリストだけど、 EC-CUBEについて何か聞きたいことある?
俺、エバンジェリストだけど、 EC-CUBEについて何か聞きたいことある?
 
EC-CUBE をアップロードしよう!
EC-CUBE をアップロードしよう!EC-CUBE をアップロードしよう!
EC-CUBE をアップロードしよう!
 
超簡単になった EC-CUBE3 のインストール
超簡単になった EC-CUBE3 のインストール超簡単になった EC-CUBE3 のインストール
超簡単になった EC-CUBE3 のインストール
 
PHPのキャッシュを使いこなせ!
PHPのキャッシュを使いこなせ!PHPのキャッシュを使いこなせ!
PHPのキャッシュを使いこなせ!
 
EC-CUBE on SQL データベース勉強会
EC-CUBE on SQL データベース勉強会EC-CUBE on SQL データベース勉強会
EC-CUBE on SQL データベース勉強会
 
よりよい UI/UX を創るためのアクセス解析
よりよい UI/UX を創るためのアクセス解析よりよい UI/UX を創るためのアクセス解析
よりよい UI/UX を創るためのアクセス解析
 
「UI/UXデザインでサイトを改善しよう」EC-CUBE勉強会 vol.16
「UI/UXデザインでサイトを改善しよう」EC-CUBE勉強会 vol.16「UI/UXデザインでサイトを改善しよう」EC-CUBE勉強会 vol.16
「UI/UXデザインでサイトを改善しよう」EC-CUBE勉強会 vol.16
 
UI/UXデザインでサイトを改善しよう
UI/UXデザインでサイトを改善しようUI/UXデザインでサイトを改善しよう
UI/UXデザインでサイトを改善しよう
 
Github と仲良くなろう!
Github と仲良くなろう!Github と仲良くなろう!
Github と仲良くなろう!
 
Microsoft Azure x EC-CUBE @西浦温泉
Microsoft Azure x EC-CUBE @西浦温泉Microsoft Azure x EC-CUBE @西浦温泉
Microsoft Azure x EC-CUBE @西浦温泉
 
明日は我が身。他人事ではないECサイトのセキュリティのお話
明日は我が身。他人事ではないECサイトのセキュリティのお話明日は我が身。他人事ではないECサイトのセキュリティのお話
明日は我が身。他人事ではないECサイトのセキュリティのお話
 
EC-CUBE とクラウドは仲良しか?
EC-CUBE とクラウドは仲良しか?EC-CUBE とクラウドは仲良しか?
EC-CUBE とクラウドは仲良しか?
 
名古屋 EC-CUBE 勉強会 Vol5
名古屋 EC-CUBE 勉強会 Vol5名古屋 EC-CUBE 勉強会 Vol5
名古屋 EC-CUBE 勉強会 Vol5
 
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
 
EC-CUBE 活用セミナー in Hiroshima
EC-CUBE 活用セミナー in HiroshimaEC-CUBE 活用セミナー in Hiroshima
EC-CUBE 活用セミナー in Hiroshima
 

Recently uploaded

Recently uploaded (11)

論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 

他人事ではないぞ!
ECサイトのセキュリティ強化