SHIFT SECURITY「EC-CUBE 無償セキュリティ診断」にフォレンジックを追加、XSS脆弱性の悪用に対応 | ScanNetSecurity
2021.06.13(日)

SHIFT SECURITY「EC-CUBE 無償セキュリティ診断」にフォレンジックを追加、XSS脆弱性の悪用に対応

株式会社SHIFT SECURITYは5月12日、2019年から同社が提供してきた「EC-CUBE向け無償セキュリティ診断」の診断範囲の拡大を発表した。

製品・サービス・業界動向 新製品・新サービス
株式会社SHIFT SECURITYは5月12日、2019年から同社が提供してきた「EC-CUBE向け無償セキュリティ診断」の診断範囲の拡大を発表した。

「EC-CUBE」を運営する株式会社イーシーキューブでは5月7日に、「クロスサイトスクリプティング(XSS)の脆弱性の悪用によるクレジットカード情報の流出確認」を発表、イーシーキューブ社では既に複数サイトでの攻撃を確認しており、緊急度が非常に高い脆弱性として注意を呼びかけていた。

SHIFT SECURITYは2019年5月から現在に至るまで、約150社以上の「EC-CUBE」を利用したECサイトに対し無償で脆弱性診断を行ってきた。今回のクロスサイトスクリプティング(XSS)の脆弱性発生の事態を受け、「EC-CUBE向け無償セキュリティ診断」に、さらに「フォレンジック調査(攻撃の痕跡確認)」を加えた無償セキュリティ診断の提供を開始する。

「EC-CUBE におけるクロスサイトスクリプティングの脆弱性」が公表されると同社の「EC-CUBE向け無償セキュリティ診断」に依頼が多数寄せられたが、いずれのケースも「被害が発生しているのかいないのか確証が欲しい」という要望が多く、攻撃痕跡確認をも無償診断の範囲に加えることを当日決定した。そのためフォレンジックといっても、クレジットカード情報漏えい等の際に安くとも数百万円、短くても数週間程度かけて行うフォレンジックとはサービスの範囲も粒度も全く異なる。攻撃で被害が起こっているかどうかのみだ。

「EC-CUBE向け無償セキュリティ診断」は、「脆弱性診断」と「フォレンジック調査(攻撃の痕跡確認)」の2つあり、「脆弱性診断」は過去のEC-CUBEの脆弱性に加え、今回のクロスサイトスクリプティング(XSS)の脆弱性が確認されているEC-CUBE「4.0.0~4.0.5」のバージョンがサイトに活用されていないか診断する。「フォレンジック調査(攻撃の痕跡確認)」ではクロスサイトスクリプティング(XSS)の脆弱性により攻撃をうけていたかどうか「攻撃の痕跡有無」を調査する。

「EC-CUBE向け無償セキュリティ診断」は、同社の「EC-CUBE向け無償セキュリティ診断」専用フォームから申込を受け付けている。診断後はメールにて結果報告を行う。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×