ニュース

EC-CUBEのセキュリティ情報

弊社でもショッピングサイト構築で使用しているオープンソースシステムEC-CUBEで、先日、脆弱性に関する注意(その1その2)が公開されました。 どのような脆弱性かというと、商品情報・顧客情報などを管理しているデータベースがSQLインジェクション攻撃を受けてしまう可能性があるというものです。SQLインジェクション攻撃は最近(と言っても数年前から言われ続けていますが...)特に流行している攻撃で、つい先日も独立行政法人「石油天然ガス・金属鉱物資源機構」のサイトが攻撃を受けて最大2,400人分の個人情報が流失した恐れがあるというニュースがありました。 最近では特にWeb上で個人情報を入力したり、取り扱ったりする機会が増えてきています。もちろんすべてはユーザにとって便利になり、きめ細かなサービス提供につながるものなのですが、それとのトレードオフでさまざまな脅威へのリスクが増大しています。パソコンさえあれば世界と繋がるのがインターネットの良いところですが、それと同時に家や会社にいながらにして外部の脅威と背中合わせになっていることを自覚しなければいけませんね。 私もサービスを提供する側の人間として、あらためて細心の注意を払わなければいけないと感じました。