#1026 EC-CUBE に多要素認証をバイパスされる脆弱性

今回は、インターネット通販サイトを構築するためによく使われているシステム、EC-CUBEに発見された深刻な脆弱性に関するニュースを取り上げます。この脆弱性を悪用されると、セキュリティを強化するための多要素認証が破られてしまい、管理画面に不正にアクセスされる危険性があります。本日の解説を通じて、なぜ多要素認証が突破されてしまうのかという仕組みや、自社のシステムが影響を受けるかどうかの確認方法、そして速やかに講じるべき対策について、詳しく理解していただけるようにお話ししていきます。

今回のニュースは、株式会社イーシーキューブが提供する通販サイト構築システムであるEC-CUBEにおいて、認証を回避されてしまう脆弱性が発見されたという内容です。このシステムには、管理者用のIDとパスワードが万が一漏えいした場合でも、不正なログインを防ぐための二要素認証機能が備わっています。しかし、今回見つかった脆弱性を悪用されると、その二要素認証の壁をすり抜けて、第三者が管理画面に侵入できる可能性があります。もし管理画面に不正ログインされると、顧客の個人情報が漏えいしたり、サイトが改ざんされたりする甚大な被害につながる恐れがあります。そのため、開発元が提供している修正プログラムを速やかに適用することが、重要な対策として強く求められています。

EC-CUBEは、企業が自前のインターネット通販サイトを構築して運営するために、非常に広く利用されている無料のソフトウェアです。日本国内で開発されているため、日本語の情報が豊富で使いやすく、多くの小売店やメーカーがオンラインショップの基盤として採用しています。ネットショップの顔となる商品ページから、裏側で動く顧客管理や注文処理まで、通信販売に必要な機能が一通り揃っているのが特徴です。そのため、このシステムに脆弱性があると、多くのオンラインショップが危険にさらされることになります。

通常であれば、IDとパスワードを入力した後に、スマートフォンに届く暗証番号などを入力して、初めてログインが完了します。これが二要素認証の仕組みです。しかし、今回の脆弱性では、システム側の認証手順に抜け穴が存在していました。悪意のある攻撃者が、特別な通信経路や代替の手段を使うことで、二番目の認証ステップを完全にスキップできてしまう状態になっています。つまり、何らかの理由で管理者のIDとパスワードさえ手に入れてしまえば、暗証番号を持っていなくても、正規の管理者になりすましてログインできてしまうという、非常に危険な状態です。

まずは自社で運用しているEC-CUBEのバージョンを確認する必要があります。今回の脆弱性は、EC-CUBEの4.1系、4.2系、4.3系という特定のバージョンにおいて影響が出ることが分かっています。具体的なバージョン番号については、システムの管理画面から確認することができます。自社のバージョンが、開発元から発表されている影響を受ける範囲に当てはまっている場合は、すぐに対応が必要です。もし、サイトの構築や保守を外部の制作会社に委託している場合は、担当の窓口に連絡して状況を調べてもらうのが、確実で安全な方法となります。

もっとも確実で根本的な対策は、開発元が提供している最新の修正ファイルを適用することです。この修正ファイルを取り込むことで、二要素認証をすり抜けられてしまうというシステムの不具合が解消されます。また、修正作業をすぐに行えない場合の応急処置として、管理画面にアクセスできるパソコンを特定の通信環境に制限するなどの対策も考えられます。ただ、やはり修正プログラムを適用しない限り根本的な解決にはなりませんので、システム担当者と連携して、可能な限り早くアップデートを実施していただくことが重要です。

システムを導入する際に多要素認証を設定しただけで、完全に安心してしまうのは危険だということです。セキュリティの仕組み自体に脆弱性が潜んでいる可能性は常にありますので、JPCERT/CCやIPAといった機関が発信する情報を、日常的にチェックする習慣が大切です。また、万が一に備えて、システムのアップデートを迅速に行える保守体制を整えておくことや、管理者のIDとパスワードそのものが漏えいしないように、パスワードの使い回しを避けるといった基本的な対策を徹底することも、改めて重要だと言えます。