EC-CUBE 4.0.0〜4.0.5 で発覚した緊急度の高い脆弱性への対応について
EC-CUBE4系ご利用の一部サイトにおいて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されています。
EC-CUBE 4.0.0〜4.0.5 で発覚した緊急度の高い脆弱性への対応について
既に複数サイトでの攻撃が確認されており、イーシーキューブ社ほか、JPCERT/CCからも注意喚起が出ております。
該当バージョンでサイトを運営されている場合は、イーシーキューブ社からの注意喚起を確認のうえ、至急Hotfixパッチを適用することを強く推奨いたします。
該当バージョン:EC-CUBE 4.0.0〜4.0.5
■イーシーキューブ社からの注意喚起
https://www.ec-cube.net/news/detail.php?news_id=383
■ご利用のEC-CUBEのバージョンを確認する方法
https://www.ec-cube.net/info/security/#securit_flow01
イーシーキューブ社からの注意喚起に従い、攻撃された可能性について確認してください。
EC-CUBEのセキュリティに関するご相談
弊社では、イーシーキューブ社のセキュリティアドバイザとして、本脆弱性への対処にも協力しております。
「攻撃の可能性があるのかわからない」「攻撃の可能性が確認されたがどうすれば」「大丈夫かどうかセキュリティ診断をしたい」などのご相談を有償にてお受けしております。
■サービスの例
・攻撃の可能性や被害の調査
・脆弱性診断(セキュリティ診断)
・WAF(ウェブ・アプリケーション・ファイアウォール)
■弊社の提供サービス
・EC-CUBE 被害可能性調査
前提条件 | 攻撃の痕跡確認だけでなく被害の可能性まで確認いたします。 費用:50万円 *オプション 報告会 10万円 |
---|---|
前提条件 | 攻撃の痕跡確認だけでなく被害の可能性まで確認いたします。 調査はサイトが稼働するサーバーに弊社からログインさせていただきますので、SSH等の認証情報をご提供ください。 被害の可能性が高いことが判明した場合は、カード会社の指定する専門業者の調査が必要になります。 支払い条件は前金での対応となります。(費用先払い、入金確認後実施) 申し込み状況により、お待ちいただく場合やお断りする場合があります。 |
*WAFの導入やウェブサイトの脆弱性診断も弊社にて受け付けております。
*お電話でのご相談は受け付けておりません。
■調査までのながれ
- お申込みより質問事項にご回答ください。
- 弊社担当よりお見積りとご発注書のひな型をお送りさせていただきます。
- お見積り内容をご確認いただき、発注書をご返送ください。
- ご請求書のPDFをお送りさせていただきますのご入金をお願いいたします。
- サーバーへのログインに必要なSSH等の認証情報をご提供ください。
- ご入金の確認および弊社からのサーバーへのアクセスの確認ができましたら、調査を開始いたします。
*発注書をお送りいただきましたら担当者より、秘密保持契約書の締結についてご連絡させていただきます。
*秘密保持契約は弊社のひな型にて締結をお願いいたします。
*弊社が利用している電子契約サービス「WAN-Sign」にて締結をお願いしております。
*お電話でのご相談は受け付けておりません。
■お申込み
お申込みはこちらから。
*お電話でのご相談は受け付けておりません。