情報処理推進機構(IPA)は12月25日(米国時間)、「ECサイト構築で多く利用されている「EC-CUBE」を用いたウェブサイトでの情報漏えい被害の増加について:IPA 独立行政法人 情報処理推進機構」において、EC-CUBEを使って構築されたWebサイトでクレジットカードデータの窃取などの被害が多数確認されていると伝えた。これまでに窃取されたクレジットカード情報は14万件に上るとされており注意が必要。

ECサイト構築で多く利用されている「EC-CUBE」を用いたウェブサイトでの情報漏えい被害の増加について:IPA 独立行政法人 情報処理推進機構

本件に関しては、EC-CUBEを開発しているイーシーキューブからもプレスリリースが発表されている。

【重要】サイト改ざんによるクレジットカード流出被害が増加しています。 [PDF]

EC-CUBEを古いバージョンのまま運用しているケース、不適切な設定でWebサーバおよびEC-CUBEを運用しているケース、脆弱性が存在している古いバージョンのWebサーバを利用しているケース、同じサーバにデプロイしているほかのCMSに脆弱性が存在しているケースなどで、サイバー攻撃を受けるおそれがあるという。

IPAはイーシーキューブが公開している情報をチェックするとともに、必要なセキュリティ対策を実施することを推奨している。すでにクレジットカードデータの窃取が確認されていることから、該当するプロダクトを使用している場合は迅速に対処を取ることが望まれる。