狠狠撸

狠狠撸Share a Scribd company logo

他人事ではないぞ!?贰颁サイトのセキュリティ强化

Download as pptx, pdf
Kentaro Ohkouchi
Kentaro Ohkouchi

EC-CUBE名古屋ユーザーグループ 勉強会 Vol.67

1 of 16
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
他人事ではないぞ! ECサイトのセキュリティ強化 EC-CUBE名古屋ユーザーグループ Vol.67 大河内健太郎
自己紹介 名前: 大河内健太郎(@nanasess) 年齢: 42才 出身: 愛知県西尾市一色町 在住: 宝塚市 前職:寿司屋の板前 資格: 調理師?ふぐ処理師 EC-CUBE コミッター?公式エバンジェリスト 最近のマイブーム: 2系のテストを書く
Agenda ネットショップセキュリティの近況ふりかえり クレジットカード番号漏洩事故の手口と原因 本当にやらなきゃいけない対策
ネットショップセキュリティの近 況ふりかえり ヤマダ電機(https://headlines.yahoo.co.jp/hl?a=20190529-00000080- zdn_n-sci) EC-CUBEの注意喚起(https://www.ec- cube.net/news/detail.php?news_id=330) カード番号有効性確認攻撃 (https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/02142/)
徳丸先生のまとめからふりかえり 2019年1月から5月に公表されたウェブサイトからのクレジ ットカード情報漏えい事件まとめ https://blog.tokumaru.org/2019/05/credit-card-information- leak-incidents-2019-1-5.html
手口と原因 カード非保持化により、偽の入力フォームを置かれるケー スがほとんど よくセキュリティの第三者機関が調査しているが、根本原 因は公表されない EC-CUBEの中の人も、本当のところの原因はわかってない 非常に悩ましい問題
懸念していること 根本原因が公表されないので、技術者のセキュリティ認識がアップデ ートされない 声のでかい人が中途半端な知識で中途半端な対策を広めることも よくわからないから(ベンダーにとって)金になる対策が提案されやす い 根本原因に対する対策がおざなりに 予算の関係で何も対策されない悲劇も起こりうる
EC-CUBEにて公表されている 対策の優先順位 1. 改ざんの確認 2. 管理画面の URL 変更 3. 管理画面のアクセス制限 4. 公開ディレクトリの制限 5. CMSのセキュリティ担保
事故原因から考えた 対策の優先順位 1. 改ざんの確認 2. 管理画面の URL 変更 3. 管理画面のアクセス制限 4. 公開ディレクトリの制限 5. CMSのセキュリティ担 保 1. 公開ディレクトリの制限 2. 改ざんの確認 3. CMSのセキュリティ担 保 4. 管理画面の URL 変更 5. 管理画面のアクセス制限
事故原因から考えた 対策の優先順位 緊急性?リスクが高く早急に対策可能なものから対策する EC-CUBE4系だから安全というものではない 設置不備があれば穴は空くし、プラグインに脆弱性があるケ ースも十分ある 管理画面のURL変更では守れない 実は他の脆弱性を攻撃されている場合が多い
はたしてどんな対策が有効なの か セキュリティと利便性はトレードオフ 利便性を求めれば、安全性は下がる リテラシーの低い人が使いやすいカード入力フォームは高 リスク(改ざんがバレにくい)
はたしてどんな対策が有効なの か おすすめは ID決済 Amazon Pay / PayPal など 決済サービス側で会員登録するので、改ざんが困難 シングルサインオンでネットショップ側のパスワード不要 (乗っ取りやパスワード漏洩リスク低減) 管理画面もシングルサインオンにすることで不正ログインのリスクが大 幅に低減(Google/Microsoft アカウントと連携させることで2段階認証可 能) EC-CUBE 2系も鋭意開発中
ぜひやっておきたい対策 .htaccess のパーミッションは書込み不可に(444 など) .htaccess が改ざんされる場合も多い。これやられたら管理画 面の隠蔽など意味無し 管理画面からファイルを更新する便利機能は利用せず、Webサー バー権限で書込み不可に FTPやSSHのみのユーザーでのみ更新できるようにすることで 、攻撃リスク低減
フレームワークや PHP の サポート期限気をつけて EC-CUBE4系 Symfony3.4(2021年11月末まで) PHP7.2(RHEL/CentOS のベンダーサポートで数年は大丈夫) EC-CUBE3系 Silex(2018年6月末まで) Symfony2.7(2019年5月末まで) 一応、株式会社イーシーキューブはサポートを表明している EC-CUBE2系 PHP5.4(RHEL/CentOS のベンダーサポートで2024年6月末まで)
セキュリティでお困りのことがあ れば、お気軽にご連絡ください @nanasess
ご静聴ありがとうございました!
Ad

Recommended

笔贬笔7.3へのバージョンアップ対策
笔贬笔7.3へのバージョンアップ対策
Kentaro Ohkouchi
?
中小ネットショップの 軽減税率対策を学ぼう!
中小ネットショップの 軽減税率対策を学ぼう!
Kentaro Ohkouchi
?
ネットショップのアクセス解析超入门
ネットショップのアクセス解析超入门
Kentaro Ohkouchi
?
EC-CUBEデザインカスタマイズの ベストプラクティス!
EC-CUBEデザインカスタマイズの ベストプラクティス!
Kentaro Ohkouchi
?
EC-CUBE と PayPal の縁結び
EC-CUBE と PayPal の縁結び
Kentaro Ohkouchi
?
开発者视点で选ぶ「2系」と「3系」。?そして3系の次期バージョン
开発者视点で选ぶ「2系」と「3系」。?そして3系の次期バージョン
Kentaro Ohkouchi
?
EC-CUBE次期バージョンから、しっかり学ぶ Symfony
EC-CUBE次期バージョンから、しっかり学ぶ Symfony
Kentaro Ohkouchi
?
EC-CUBE と PayPal は仲良しか?
EC-CUBE と PayPal は仲良しか?
Kentaro Ohkouchi
?
フロントエンドだけで完結! checkout.js でペイパろう
フロントエンドだけで完結! checkout.js でペイパろう
Kentaro Ohkouchi
?
EC-CUBE API フ?ラク?イン勉強会
EC-CUBE API フ?ラク?イン勉強会
Kentaro Ohkouchi
?
EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介
EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介
Kentaro Ohkouchi
?
贰颁-颁鲍叠贰最新情报!3.1开発进捗説明会の报告します!
贰颁-颁鲍叠贰最新情报!3.1开発进捗説明会の报告します!
Kentaro Ohkouchi
?
EC-CUBE はいいぞ
EC-CUBE はいいぞ
Kentaro Ohkouchi
?
俺、エバンジェリストだけど、 EC-CUBEについて何か聞きたいことある?
俺、エバンジェリストだけど、 EC-CUBEについて何か聞きたいことある?
Kentaro Ohkouchi
?
EC-CUBE をアップロードしよう!
EC-CUBE をアップロードしよう!
Kentaro Ohkouchi
?
超簡単になった EC-CUBE3 のインストール
超簡単になった EC-CUBE3 のインストール
Kentaro Ohkouchi
?
笔贬笔のキャッシュを使いこなせ!
笔贬笔のキャッシュを使いこなせ!
Kentaro Ohkouchi
?
EC-CUBE on SQL データベース勉強会
EC-CUBE on SQL データベース勉強会
Kentaro Ohkouchi
?
よりよい UI/UX を創るためのアクセス解析
よりよい UI/UX を創るためのアクセス解析
Kentaro Ohkouchi
?
「鲍滨/鲍齿デザインでサイトを改善しよう」EC-CUBE勉強会 vol.16
「鲍滨/鲍齿デザインでサイトを改善しよう」EC-CUBE勉強会 vol.16
Kentaro Ohkouchi
?
鲍滨/鲍齿デザインでサイトを改善しよう
鲍滨/鲍齿デザインでサイトを改善しよう
Kentaro Ohkouchi
?
Github と仲良くなろう!
Github と仲良くなろう!
Kentaro Ohkouchi
?
Microsoft Azure x EC-CUBE @西浦温泉
Microsoft Azure x EC-CUBE @西浦温泉
Kentaro Ohkouchi
?
明日は我が身。他人事ではない贰颁サイトのセキュリティのお话
明日は我が身。他人事ではない贰颁サイトのセキュリティのお话
Kentaro Ohkouchi
?
EC-CUBE とクラウドは仲良しか?
EC-CUBE とクラウドは仲良しか?
Kentaro Ohkouchi
?
名古屋 EC-CUBE 勉強会 Vol5
名古屋 EC-CUBE 勉強会 Vol5
Kentaro Ohkouchi
?
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
Kentaro Ohkouchi
?
EC-CUBE 活用セミナー in Hiroshima
EC-CUBE 活用セミナー in Hiroshima
Kentaro Ohkouchi
?

More Related Content

More from Kentaro Ohkouchi (20)

フロントエンドだけで完結! checkout.js でペイパろう
フロントエンドだけで完結! checkout.js でペイパろう
Kentaro Ohkouchi
?
EC-CUBE API フ?ラク?イン勉強会
EC-CUBE API フ?ラク?イン勉強会
Kentaro Ohkouchi
?
EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介
EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介
Kentaro Ohkouchi
?
贰颁-颁鲍叠贰最新情报!3.1开発进捗説明会の报告します!
贰颁-颁鲍叠贰最新情报!3.1开発进捗説明会の报告します!
Kentaro Ohkouchi
?
EC-CUBE はいいぞ
EC-CUBE はいいぞ
Kentaro Ohkouchi
?
俺、エバンジェリストだけど、 EC-CUBEについて何か聞きたいことある?
俺、エバンジェリストだけど、 EC-CUBEについて何か聞きたいことある?
Kentaro Ohkouchi
?
EC-CUBE をアップロードしよう!
EC-CUBE をアップロードしよう!
Kentaro Ohkouchi
?
超簡単になった EC-CUBE3 のインストール
超簡単になった EC-CUBE3 のインストール
Kentaro Ohkouchi
?
笔贬笔のキャッシュを使いこなせ!
笔贬笔のキャッシュを使いこなせ!
Kentaro Ohkouchi
?
EC-CUBE on SQL データベース勉強会
EC-CUBE on SQL データベース勉強会
Kentaro Ohkouchi
?
よりよい UI/UX を創るためのアクセス解析
よりよい UI/UX を創るためのアクセス解析
Kentaro Ohkouchi
?
「鲍滨/鲍齿デザインでサイトを改善しよう」EC-CUBE勉強会 vol.16
「鲍滨/鲍齿デザインでサイトを改善しよう」EC-CUBE勉強会 vol.16
Kentaro Ohkouchi
?
鲍滨/鲍齿デザインでサイトを改善しよう
鲍滨/鲍齿デザインでサイトを改善しよう
Kentaro Ohkouchi
?
Github と仲良くなろう!
Github と仲良くなろう!
Kentaro Ohkouchi
?
Microsoft Azure x EC-CUBE @西浦温泉
Microsoft Azure x EC-CUBE @西浦温泉
Kentaro Ohkouchi
?
明日は我が身。他人事ではない贰颁サイトのセキュリティのお话
明日は我が身。他人事ではない贰颁サイトのセキュリティのお话
Kentaro Ohkouchi
?
EC-CUBE とクラウドは仲良しか?
EC-CUBE とクラウドは仲良しか?
Kentaro Ohkouchi
?
名古屋 EC-CUBE 勉強会 Vol5
名古屋 EC-CUBE 勉強会 Vol5
Kentaro Ohkouchi
?
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
Kentaro Ohkouchi
?
EC-CUBE 活用セミナー in Hiroshima
EC-CUBE 活用セミナー in Hiroshima
Kentaro Ohkouchi
?
フロントエンドだけで完結! checkout.js でペイパろう
フロントエンドだけで完結! checkout.js でペイパろう
Kentaro Ohkouchi
?
EC-CUBE API フ?ラク?イン勉強会
EC-CUBE API フ?ラク?イン勉強会
Kentaro Ohkouchi
?
EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介
EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介
Kentaro Ohkouchi
?
贰颁-颁鲍叠贰最新情报!3.1开発进捗説明会の报告します!
贰颁-颁鲍叠贰最新情报!3.1开発进捗説明会の报告します!
Kentaro Ohkouchi
?
EC-CUBE はいいぞ
EC-CUBE はいいぞ
Kentaro Ohkouchi
?
俺、エバンジェリストだけど、 EC-CUBEについて何か聞きたいことある?
俺、エバンジェリストだけど、 EC-CUBEについて何か聞きたいことある?
Kentaro Ohkouchi
?
EC-CUBE をアップロードしよう!
EC-CUBE をアップロードしよう!
Kentaro Ohkouchi
?
超簡単になった EC-CUBE3 のインストール
超簡単になった EC-CUBE3 のインストール
Kentaro Ohkouchi
?
笔贬笔のキャッシュを使いこなせ!
笔贬笔のキャッシュを使いこなせ!
Kentaro Ohkouchi
?
EC-CUBE on SQL データベース勉強会
EC-CUBE on SQL データベース勉強会
Kentaro Ohkouchi
?
よりよい UI/UX を創るためのアクセス解析
よりよい UI/UX を創るためのアクセス解析
Kentaro Ohkouchi
?
「鲍滨/鲍齿デザインでサイトを改善しよう」EC-CUBE勉強会 vol.16
「鲍滨/鲍齿デザインでサイトを改善しよう」EC-CUBE勉強会 vol.16
Kentaro Ohkouchi
?
鲍滨/鲍齿デザインでサイトを改善しよう
鲍滨/鲍齿デザインでサイトを改善しよう
Kentaro Ohkouchi
?
Github と仲良くなろう!
Github と仲良くなろう!
Kentaro Ohkouchi
?
Microsoft Azure x EC-CUBE @西浦温泉
Microsoft Azure x EC-CUBE @西浦温泉
Kentaro Ohkouchi
?
明日は我が身。他人事ではない贰颁サイトのセキュリティのお话
明日は我が身。他人事ではない贰颁サイトのセキュリティのお话
Kentaro Ohkouchi
?
EC-CUBE とクラウドは仲良しか?
EC-CUBE とクラウドは仲良しか?
Kentaro Ohkouchi
?
名古屋 EC-CUBE 勉強会 Vol5
名古屋 EC-CUBE 勉強会 Vol5
Kentaro Ohkouchi
?
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
Kentaro Ohkouchi
?
EC-CUBE 活用セミナー in Hiroshima
EC-CUBE 活用セミナー in Hiroshima
Kentaro Ohkouchi
?

他人事ではないぞ!?贰颁サイトのセキュリティ强化

About
? 2025 狠狠撸