不正アクセスと情報漏えいの方程式,BCラボ,ECマーケティング,マーケティングコラム,

マーケティングトレンド

不正アクセスと情報漏えいの方程式 に加えられるECシステムその名は、

疑わしきすべては捜査対象とするのが警察であれば、捜査線上に上がった事件の共通項には注目せざるを得ませんね。漏えいする情報が個人情報やクレジットカード情報なら、不正アクセスを許すのは大概EC構築システムということになります。そう、 不正アクセスと情報漏えいの方程式 に加えるべきEC構築システムがあるのです。


If all the suspects are to be investigated, the police have to pay attention to the commonality of the incidents on the line. If the leaked information is personal information or credit card information, it is usually the EC construction system that allows unauthorized access. Yes, there is an EC construction system to add to the equation of unauthorized access and information leakage.


8月に入って通販大手のJIMOSや美容健康商品を販売しているドリーム、耐熱ガラス製品の製造販売を手がけるHARIO、蕎麦屋チェーンの小嶋屋総本店が、不正アクセスによって顧客情報が漏えいしたと発表。4社とも被害を受けたECサイトを休止している(9月2日時点)。



不正アクセス被害にあうサイトの共通項

改めて不正アクセスの被害となったサイトや事業社名を掲げるのも気が引けますね。今回記事となった被害先のサイトや事業社は、規模も違えば、販売商品や価格帯も異なります。

ほぼ日常的に発生する犯罪としては、万引きレベルの頻度ともいえ、たまたま記事となって名前があった先に共通項が存在する方が不自然というものですが、実はあるんですね、共通したある仕組みが。

不正アクセス自体を完璧に防御すること自体なかなか困難を極めます。強固なセキュリティほどハッキング魂を焚きつけるかもしれません。ただこの手のクレカ情報の取得を目的とした不正アクセスは、人的な判断で下されるワケではありません。機械的な処理で膨大にあるサイトから自動抽出される次第です。この自動抽出に該当しないことで、不正アクセスの対象から間逃れる確率を引き上げます。

民家に押し入る泥棒は、その経験値と観察眼から、不在か否か、金目のモノがあるか、侵入経路での死角有無などを見極めているワケです。当然ながら「成功確率の高い」物件を見出すことが、プロフェッショナルな侵入窃盗における身につけるべき「最初のスキル」なのです。

逆に言えば、窃盗の成功確率を下げることが明日にでも取り組みえる最良の防犯であるならば、不正アクセスされたサイトに共通することを「避ければ」、その対象から外れるという理屈です。

家のなかでは現金も延べ棒も出しっ放しでも、外にはセキュリティガードが24時間絶えず巡回しているような住宅をターゲットにする窃盗犯はいません。他を当たればいいだけです。

つまり、「彼らにとって不正アクセスがしやすいサイト」として判断されないことが最良の防犯であり、会員数とか売上規模とかは関係ないんですね。

不正アクセスと情報漏えいの方程式

記事と各社発表のリリースから、「サイトが利用しているカートシステム」だったり、「ウェブアプリ」などの脆弱性をつかれたという見解ですが、そもそものサイト構築システムやサーバーに「隙」がなければ、そこを悪用されるケースは多くはありません。

不正アクセスしやすい条件に自動的に抽出されるのであれば、単純にサイト構築システムが何であるかを突き止める方が早いです。不正アクセスの仕組みや手口を暴くワケではありません。「狙われる条件」を、今回の被害サイトから割り出してみようとうことです。

で、今回たまたまひとつの記事にまとめられた4事業社のサイトを調べました。当然すでにサイトは閉鎖・利用不可状態であり、なんのシステムを使ってECサイトを構築しているかの「普通」の手段は使えません。そのページまで閲覧できませんから。

調査方法は2つ。
サイトに導入したシステムやマーケティングソリューションを割り出す調査ツール「シミラーテック / https://www.similar-tech.jp」を利用、確認も含めて、サイト名に制作事例や導入事例などの組み合わせ検索で表示された履歴などで、何を利用して作られたサイトかが判明します。

それでは発表しましょう、不正アクセスと情報漏えいの方程式に組み込まれ、この利用さえ避ければ、当面は不正アクセス対象外から外れるだろう、避けるべき・変えるべきシステムとは・・・、

ででぇーん! EC CUBE タイキック!

ええ、見事なまでに不正アクセスされたサイトのすべてが利用していたEC構築システムは、「EC CUBE」でした。サイト開設時期から推測して、大概2系かと思われます。

オープンソースなEC構築システムであるEC CUBEですが、ワードプレス同様に「サイト制作に関わる正規な取説」が存在しません。2系全盛期ではサイト制作が可能な人材がそう多くないこと、つまり構築ノウハウや情報が限定的だった側面もあり、実は2系構築サイトの多くは、システムの脆弱性というより、「サイトの作り方そのものが問題ある」ケースが多いです。

ページ情報を収納するディレクトリの置く場所が違っていたりすると、金庫の鍵が家の外にブラ下がっているようなことになります。

実際今回の被害サイトのひとつは、過去4年にも遡って登録された会員情報が抜き取られたというので、重要書類の保管場所は、店のセキュリテイの外にあり、知らないだけで誰にでも持ち出し可能な状態だったといえます。

古いサイトシステムから作り直しやシステム移行など、リニューアル作業を実施していれば、漏えい件数やそもそも不正アクセス自体防げたかもしれません。すでに4系まで進化したEC CUBEにおいて、2系という古いシステムを、今でも利用し続ける判断が間違いと言わざるを得ません。

でも、仕方ありません。2系でサイトを作ったことは、当時にしても「結構な金額をサイト制作に支払った」と思われ、そうそうリニューアルしてまた出費というは、判断を鈍らせたのでしょう。

もちろん、他のEC構築システムや最新版4系などが、セキュリティ完璧で安全とは言い切れません。どこに新たなリスクが潜在しているかはわかりません。またECCUBEを戦犯扱いで吊るしあげましたが、2系でも優れたサイトは存在しますし、2系サイトのすべてが不正アクセスの被害に遭っているワケでもありません。どちらかと言えば、サイト数から見た被害数は割合としては少ないハズです。

ただ「状況証拠」は整いました。資本関係もない、規模も業種も顧客層も異なるサイト被害が、たまたまひとつのニュース記事で報じられ、そのすべてのECサイトが「同じシステム」を使って作られたという事実。

これだけ状況が整って、まだEC CUBE2系でECを運営するというなら、それは自身の運の良さを試すのか、犯罪に加担する目的かのいずれでしかないのかと。

「知らなかった、まさかウチが」という対岸な姿勢の代償は、想像の斜め上に高くつきます。「これほど腑に落ちない支払いは経験したことがない」と。


Yes, the EC construction system that was used by all of the sites that were brilliantly accessed was “EC CUBE”. I guess from the site opening time, it seems that it is mostly 2 system.

EC CUBE is an open source EC construction system, but as in WordPress, there is no “legal manual for site production”. In the heyday of the 2 series, there were not so many human resources who could create sites, in other words, there were aspects in which the construction know-how and information were limited.In fact, many of the 2 series construction sites are more “ how to make a site ” than a system vulnerability In itself, there is a problem. ”

If the directory where the page information is stored is different, it is as if the key of the safe is hanging out of the house.

In fact, one of the damage sites this time was that member information registered as far back as the past four years was extracted, so the storage location of important documents is outside the store’s security, so anyone who does not know It can be said that it was in a state where it could be taken out.

If renewal work was carried out, such as rebuilding or migrating the system from an old site system, the number of leaks and unauthorized access itself might have been prevented in the first place. In the EC CUBE, which has already evolved to the 4th system, the decision to continue using the old system, the 2nd system, must be mistaken.

But it can’t be helped. The fact that the site was made with the 2 system seems to have “paid a fair amount to the site production” even at that time, and it seems that renewing so much and spending again slowed down the judgment.

Of course, other EC construction systems and the latest version 4 are not perfect and secure. I don’t know where the new risks are. In addition, ECCUBE was suspended as a war criminal, but there are excellent sites even in the second system, and not all of the second system sites are suffering from unauthorized access. If anything, the number of damages from the number of sites is a small percentage.

However, “situational evidence” is in place. The fact that sites with no capital ties, different scales, different industries, and different customer demographics happened to be reported in a single news article, and that all EC sites were created using the same system.

Now that the situation is in place, and if you still want to run EC with the EC CUBE2 system, is it just to test your luck or to participate in crime?

The price of the opposite stance, “I didn’t know, I’m not sure,” is more expensive than you can imagine. “I’ve never experienced a payment that doesn’t make sense.”



AMPtoPWA,AMP,PWA,アプリライク,Sippli,シプリ,ホームアイコン,オフライン表示,高速表示,サービスワーカー,次世代サイト規格,BCラボ,マーケティングコラム,自社EC,ブランドEC,


この記事が気に入ったら
いいね ! しよう

ピックアップ記事

  1. 2020年に押さえておくべきたったひとつのECリアルトレンド
  2. LINE公式アカウント運用術 自動化を実現するMessageAPI拡張ツール選
  3. 【 MA事例 】ファッションECの導入成果を探ると見えてきた共通項
  4. 【 MA用語集 】明日から使えるMA通を振る舞う用語講座
  5. 【 MA導入 】MAツールをECサイトで導入すべきタイミングと規模感とは | B…

関連記事

  1. アパレル市場,キャッシュレス社会,BCLab,ECマーケティング,ECコンサルティング,ECサイト分析,AMPtoPWA,グローバルEC

    マーケティングトレンド

    スマホとおサイフは別よ キャッシュレス社会へのブレイクスルーは増税還元ポイント

    リアル店舗でのお支払い事情は依然として現金派が主流を占めているます、令…

  2. 表示速度,BCラボ,ECマーケティング,マーケティングコラム,

    マーケティングトレンド

    表示速度の遅いモバイルサイトに訪れる4つの悲劇とは | BCラボ ブランドEC研究所

    検索の支配者であるGoogle様は、ランキング要素やアルゴリズムのネタ…

  3. 2018EC市場,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,

    マーケティングトレンド

    2018EC市場 18兆円規模に拡大し個人消費を支える存在に

    2018EC市場 は18兆円規模で全体の6.2%に。ファッション関連…

  4. カート落ち.BCラボ,ECマーケティング,マーケティングコラム,

    マーケティングトレンド

    カート落ちがアナタの過ちでないと確信される5つの理由 | BCラボ ブランドEC研究所

    安心してください、あの カート落ち も、その カート落ち も、運営担当…

  5. IDマーケティング,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,

    マーケティングトレンド

    IDマーケティング データ規制時代で実現するパーソナライズへの架け橋

    ウェブマーケティングにおけるマネタイズは、ユーザーデータの精度と活用を…

  6. フューチャーショップ,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,




人気記事

  1. Google表示速度スコア,Googel PageSpeed Insights,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,
  2. ECリアルトレンド,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,
  3. LINE公式アカウント運用術,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,
  4. 個客対応,BCラボ,ECマーケティング,マーケティングコラム,
  5. EC勢力図,BCラボ,ECマーケティング,マーケティングコラム,

パーソナライズを仕組み化 / INSIGHT HUB

インサイトハブ,INSIGHTHUB,BCラボ,ECマーケティング,マーケティングコラム,

最近の記事

  1. Shufoo!の意識調査,BCラボ,ブランドコマース,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,セールスプランニング,B2CEC,
  2. YouTube,BCラボ,ブランドコマース,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,セールスプランニング,B2CEC,
  3. バーチャサイズ,BCラボ,ブランドコマース,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,セールスプランニング,B2CEC,
  4. ECのアプリ化,BCラボ,ブランドコマース,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,セールスプランニング,B2CEC,
  5. チャット決済,BCラボ,ブランドコマース,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,セールスプランニング,B2CEC,
  1. ECリアルトレンド,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,

    コラム

    2020年に押さえておくべきたったひとつのECリアルトレンド
  2. 個客対応,BCラボ,ECマーケティング,マーケティングコラム,

    MAツール

    個客対応 待ったなし!MA運用で気をつけたい8つのこと | BCラボ ブランドE…
  3. 表示速度,BCラボ,ECマーケティング,マーケティングコラム,

    マーケティングトレンド

    表示速度の遅いモバイルサイトに訪れる4つの悲劇とは | BCラボ ブランドEC研…
  4. LINE公式アカウント運用術,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,

    チャットコマース

    LINE公式アカウント運用術 自動化を実現するMessageAPI拡張ツール選
  5. EC勢力図,BCラボ,ECマーケティング,マーケティングコラム,

    メジャーモール

    【2019年版】 EC勢力図 国内モール・カート・システムの稼働店舗数 | BC…
PAGE TOP