EC-CubeやwordpressのECプラグインを使うのはもうやめた方がいい


生きてます。
最近のニュースや関わったクライアントに関することで思ったことを自論ですが書いていきます。緊急性高そうなので警告の意味もかねて。

最近クレカの情報漏えいがとにかく多い

ショーケースの入力フォーム支援、不正アクセス被害 カード情報など流出か(ツギノジダイ記事)
https://smbiz.asahi.com/article/14753749
ショッピングサイトのプログラム改ざん クレジット情報流出か(NHK記事)
https://www3.nhk.or.jp/news/html/20221027/k10013871221000.html
「フジフイルムモール」でカード情報漏えい 入力最適化ツールの脆弱性突かれ(ITmedia記事)
https://www.itmedia.co.jp/news/articles/2210/27/news156.html
「クレジットカード 情報漏えい」と検索すれば直近だけでもこれだけ多いくらいには被害が起きてます。こわぁ。
確かに昔からあったといえばあったのですが、最近とくに耳にすることが増えてきているという印象です。
ここで注意すべきは「特定のサービスを利用しているところだけが被害に合っているわけではない」こと。
勿論、このサービスが被害あってるとかはニュースであるわけですが、そのサービス1つだけでなく自社EC等含めた多くのECサイトやフォーム等が幅広く被害に合っていることがポイント。
ECサイト等個人情報の扱いに関わるセキュリティがより一層問われる時代になったといえます。

実は私の関わるクライアントも被害に

どこかは伏せますが、私と取引しているクライアントさんの某サイトが不正アクセスの被害に合い、緊急で閉鎖対応をしたことが最近ありました。
その会社はEC-Cubeを採用していたのですが、社内にエンジニアがいないとのことで急遽最近取引していた私に声がかかったわけですが、、
一時閉鎖し、その後一応セキュリティ強化の対処等もしたのですが結局社内にエンジニアがいない状況でEC-Cubeはオススメしないということを進言しました。

大半の企業は漏えいに対して責任を取る能力がない

何故そのクライアントにEC-Cubeをやめた方がいいと進言したかというと、カードの情報漏えいが発生した際に責任を取る能力がないと判断したからです。
EC-CubeやwordpressのECプラグインを使用したサイトが被害にあった場合、会社が責任を負う必要があります。ここでやることは大きく2つ。
①素早い通達
②賠償に関すること
ここで社内にエンジニアがいない場合はどうでしょうか。
まず、通達は早く出来ない可能性が高いです。外注の場合はどうしても間を挟む分時間のロスが発生しますし、深夜などでは対応できない会社が多いですよね。勿論、それこそ私のようにフットワーク軽めのフリーランスにお願いして素早く対応という場合もあるとは思いますが、それが出来る企業の方が少数派だと思います。
次に賠償に関すること。私は専門家とかではないので調べた限りの情報になります。
https://www.veritrans.co.jp/tips/column/security_knowledge.html
株式会社DGフィナンシャルテクノロジー様の記事を引用させていただきますと、「1人当たり平均想定賠償額:2万9,768円」とされております。つまり顧客100人程度の小さなショップだったとしても200万以上の賠償額となるわけです。
ここで例えばshopifyなどの他社が販売しているネットショップサービスを使ったり、amazonや楽天などに出品する形ですと責任はショップを出店した側ではなくサービスを提供している側(shopifyの運営会社やamazon等)になります。BASEやSTORES等の無料のものの場合でもその運営会社にセキュリティに関する責任があります。
しかし、自分のサーバーにインストールする形であるEC-Cube等は話が変わります。オープンソースを使用する場合は稀な状況を除いて基本的には保守も自分たちでやらなければなりません。
このリスクを背負う能力は正直そのクライアントには無さそうでした。なんていったって売り上げが月5万いかないところでしたからね。粗利いくらって話です。そこに賠償金400万どーんときても無理な話なのは簡単に想像つきます。
ただ、例えば売り上げの多い会社であれば当然顧客も多くいる=賠償金も多くなる中でこれに対応できる会社の方が少ないと思います。そのクライアントの場合は逆に数百万で済む程度だからダメージも小さいですが、ネットショップメインで顧客が1万人以上いるところで賠償とかなったら金額は1億2億3億の世界になります。やばすぎ!
もしくは、顧客100人規模の小さなネットショップであっても個人で出しているものだったら・・・個人に請求200万300万きたら・・・・人生計画が大きく傾く金額ですよね。貯金の中央値、2人以上世帯419万円、単身世帯45万円とのこと(おかねのコンパス様引用)ですので下手したら借金するかって話になるかも?こわすぎ・・・

ネットショップを活用している場合は今一度セキュリティの見直しを

ネットショップを運営している会社・個人は今一度セキュリティ大丈夫かどうかはチェックしてください。
「うちみたいな小さなところは狙われないでしょw」とか思っているとマジで痛い目に合います。
セキュリティに不安が残るショップを運用している場合は、一旦Yahoo!ショッピングに移行するなどするべきです。Yahoo!ショッピングは費用あまりかからないので。
もしくはshopifyやfuture shop、makeshop、BASE等のサービスを利用するなど。

このサイトでこの記事に来る人はわずかだと思いますが、少しでも多くの人に届いてほしいと思ってます。
では。

コメントを残す

メールアドレスが公開されることはありません。

日本語が含まれない投稿は無視されますのでご注意ください。名前及びコメントは必須項目、メールアドレス及びサイトURLは任意です。