EC-CUBEをバージョンアップせずに使い続ける3つのリスクとは?

スポンサードサーチ

日本においては、オープンソースのECサイト構築パッケージと言えばEC-CUBEが人気があり、EC-CUBEを提供している株式会社イーシーキューブによると、推定35,000店舗が稼働しているようです。

ただ、現時点でのEC-CUBEの最新版は、EC-CUBEの4系となっていますが、EC-CUBEには2系、3系と呼ばれるバージョンがあります。

これらのバージョンは、WooCommerceやCS-Cartのように管理画面からバージョンアップをすることはできず、開発ベンダーに依頼をしても移行作業が必要になるため、ECサイトを構築した時点でのバージョンのまま利用されているケースも多数見受けられます。

しかし、これらの古いバージョンのEC-CUBEをバージョンアップせずに使い続けることには3つの大きなリスクがあり、実際に個人情報やクレジットカードなどの流出事故も起きています。

そこで、今回はこのEC-CUBEをバージョンアップせずに利用し続けるリスクについて見てみたいと思います。

EC-CUBEをバージョンアップせずに使い続ける3つのリスク

古いバージョンのパッケージを使い続ける事は、EC-CUBEに限らずリスクがあります。

前回、最低でも対応すべきWordPressの7つのセキュリティ対策でもご紹介したように、米セキュリティ会社Sucuri社が発表しているHacked Website Threat Report – 2019の中にある2019 Website Threat Research Report(PDF)によると、ハッキングされたCMSの56%が、ハッキングされた時点で古いバージョンとなっていました。

Hacked Website Threat Report – 2019より引用

このように、EC-CUBEに限らず、古いバージョンのパッケージを利用する事自体にリスクが存在しますが、EC-CUBEの特に2系においてはバージョンアップをしないことで、以下の3つのリスクがあります。

EC-CUBEの2.12系以前はサポートが終了している

EC-CUBEの2系については、以下のように一度は2017年7月にサポートを終了するとしていましたが、その後サポートを継続することが発表されました。

株式会社ロックオン(本社:大阪府大阪市 代表取締役社長:岩田 進)は、国内No.1 EC構築オープンソース(※1) EC-CUBE の旧バージョンであるEC-CUBE Ver2系のサポート終了時期について、発表していた2017年7月から延期し、当面の間、バージョンアップ対応を含む公式サポートを継続していくことを発表いたします。

EC-CUBE:EC-CUBE Ver2系、サポート期限延期に関するお知らせ

しかし、これはEC-CUBE 2.12系以前については対象ではなく、公式サポートはすでに終了しています。

そのため、今後新たな脆弱性が発見された場合でも公式がサポートをすることはなく、脆弱性の対応が行われないものをそのまま利用する事は大変なリスクを伴います。

デザインテンプレートやプラグインもサポートから外れている

さらに、EC-CUBE自体が2.12以前のサポートが行われていないということは、これらのバージョンに対応していたデザインテンプレートやプラグインについてもサポートが終了しているのが一般的です。

このため、これらのデザインテンプレートやプラグインで脆弱性が見つかったとしても、同様に対応が行われない可能性があります。

いまだに脆弱性を突かれた事例が発生している

実際、詳細なバージョンについては不明ですが、EC-CUBEの2系については以下のような個人情報やクレジットカードの漏洩事件がいまだに発生しています。

2013年のEC-Cubeということになると、重大な脆弱性が存在しているバージョンである可能性が高く、少なくとも被害発生時点では危険なバージョンが稼働していたとみられる。

Cross&Crown:東映ビデオ オンラインショップで不正アクセス、クレジットカード情報1万件以上漏洩の可能性

当社が確認したところ、肉の御嵩屋オンライン SHOPで使用されているCMSはEC-CUBE2系であると考えられる。

Cross&Crown:株式会社肉の御嵩屋「肉の御嵩屋オンライン SHOP」(EC-CUBE2系)でクレジットカード情報530 件が流出

同サイトで使用しているEC-CUBEシステム一部バージョンの脆弱性を突いたことによる第三者の不正アクセスでカード決済を選択した顧客が偽の決済画面へ誘導され、入力したカード情報が流出し、一部のカード情報が不正利用された可能性を確認したというもの。

ScanNetSecurity:セキュリティコード含むクレジットカード情報流出、EC-CUBE の脆弱性突かれ(マグファイン)

また、2019年12月20日には、経済産業省から以下のような注意喚起が出たこともあります。

株式会社イーシーキューブが開発・提供するインターネットサイト構築パッケージ「EC-CUBE」の脆弱性等を突いたインターネットショップのサイトの改ざん等により、クレジットカード番号等が窃取されるといった被害が多発しております。

経済産業省:株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について(注意喚起)

EC-CUBE側でも、EC-CUBE セキュリティチェックモジュールをリリースして運用しているECサイトのセキュリティ対策を行うような案内をしています。

本ツールは、「EC-CUBE」利用者が自社サイトのセキュリティ状況を簡単にご確認いただけることにより、そこから安全にサイトを運用していただくためのセキュリティ対策実施を促していくことを目的に、開発、リリースいたしました。

EC-CUBE:株式会社イーシーキューブ、「EC-CUBE」利用店舗の安全性を高めるための利用環境セキュリティ自動チェックツール「EC-CUBEセキュリティチェックモジュール」を提供開始。(2020/02/07)

ポイントは、「EC-CUBE セキュリティチェックモジュール」についてに記載がある「特に被害が多く発生しているEC-CUBE 2系の「EC-CUBE2.11〜2.13」」というところ。

今回リリースしたツールは、特に被害が多く発生しているEC-CUBE 2系の「EC-CUBE2.11〜2.13」を対象としています。EC-CUBE Owners Store(オーナーズストア)でモジュールを購入(無料)後、自社サイトの管理画面にて数ステップで簡単に導入・実行していただけます。

EC-CUBE:株式会社イーシーキューブ、「EC-CUBE」利用店舗の安全性を高めるための利用環境セキュリティ自動チェックツール「EC-CUBEセキュリティチェックモジュール」を提供開始。(2020/02/07)

つまり、EC-CUBE 2系の「EC-CUBE2.11〜2.13」で問題が多く発生しており、いまだにセキュリティ対策を行っていない状況で運用がされているものがある、ということです。

4系に移行するメリット

このように、EC-CUBEの2系を利用し続けることによるリスクは大きいのに対し、最新バージョンであるEC-CUBEの4系にすると、以下のようなメリットがあります。

公式サポートがある

EC-CUBEの4系は、公式でサポートされていますので、脆弱性が見つかった際には、公式が対応するのを期待できます。

EC-CUBE:脆弱性リスト

アップデートプラグインが用意されている

EC-CUBEの4系には、アップデートプラグインが用意されています。

EC-CUBE 4系 アップデートプラグイン
EC-CUBE 4系 アップデートプラグイン

これにより、カスタマイズを行っていなければ、比較的簡単にバージョンアップができるようになっています。

新しいデザインテンプレートやプラグインを簡単に追加できる

EC-CUBEの2系は、公式サポートがされていませんので、これから新しい機能がリリースされることはありませんし、デザインテンプレートやプラグインが開発されることもないでしょう。

しかし、EC-CUBEの4系は新たに利用者が増えて行きますので、EC-CUBEに関連する機能を開発する企業にとっても、新製品をリリースしたり、機能追加やサポートを行う事に対するメリットがあり、新たなデザインテンプレートやプラグインが追加されることを期待できます。

また、EC-CUBEの4系は、レスポンシブデザインに標準で対応していますので、テンプレートが一つで済み、PCとタブレット、スマートフォンに対応したECサイトの構築をすることができます。

オーナーズストア
オーナーズストア

さらに、EC-CUBEの4系は、デザインテンプレートやプラグインの追加を管理画面から簡単に行えます。

2系から4系の移行の注意点

EC-CUBEの2系から4系へ移行する場合に問題になるのが、現状のECサイトのデータです。

これについては、株式会社イーシーキューブからデータ移行プラグインが提供されています。

ただし、このデータ移行プラグインは、以下のデータが対象となります。

  • 会員データ
  • 管理者データ
  • 商品データ
  • カテゴリデータ
  • 受注データ
  • 支払い方法
  • 配送方法
  • 税設定
  • 他プラグイン連携

データ移行プラグインで移行出来ないデータとしては、主に以下のものがあります。

  • カート
  • 決済と配送の紐づけ

また、これ以外にもいくつか移行ができないデータがあるのと、カスタマイズを行なっている場合は、別途移行作業が必要になります。

運用業務の課題も解決する方法を検討すべき

EC-CUBEは2系から4系に代わる際に、システムの設計が大きく変わっていますが、機能面でなくなってしまっているものもあります。

  • ダウンロード商品には非対応
  • メルマガ機能は無料の公式プラグインを別途ダウンロード
  • 売上集計機能は無料の公式プラグインを別途ダウンロード
  • 多言語対応

詳細は、以下の機能一覧表で比較ができます。

ただし、EC-CUBEの2系を長年使ってECサイトの運用業務を行っていると、EC-CUBEには機能として存在しないが、運用において必要となっている機能は色々と出てきていると思います。

そのため、予算化をして移行作業を行うのであれば、単なるEC-CUBEのバージョンアップではなく、運用業務における課題も解決するために必要な機能をまで含めて要件定義を行い、他のパッケージも含めて検討をするのが望ましいでしょう。

ITを使った経営課題の解決でお困りではありませんか?

DXを始めとするITを使った経営課題の解決が上手くいっていない企業は数多くあります。

それは、単なるソリューションの導入や、社内人材への丸投げとなっており、課題解決がゴールになっていないからです。

そのためには、経営とITを理解した人材が、経営者層と共に取り組み、経営者の頭の中を可視化することが必須要件です。

現在、1時間の無料オンライン・コンサルティングを実施しております。

是非この機会にご相談ください。

構築予算が10分の1に

経営課題を解決するECサイト、越境ECサイト、BtoB ECサイト、マーケットプレイスを構築するならCS-Cartをご検討ください。

スポンサードサーチ