ペチパーへの旅立ち
eccube-tokyoug.connpass.com突如、部長に「TOKIOよ、ペチパーになれ!EC-CUBEを勉強しろ」と言われて*1、出た勉強会。EC-CUBEとはECサイトを構築できるフレームワークで国産のオープンソースソフトウェアなのです。それで、このEC-CUBEはPHP言語で書かれているということ*2。それはそうと、ペチパー*3ってなんか蔑称にしか聞こえないよね(笑)。
先約のAWS Loft Tokyoでのセミナー『イチから理解するサーバーレスアプリ開発』を振り切って参加しましたよ。AWS Loftの方は「サーバーレスアプリケーション向きのDB設計ベストプラクティス」というテーマでモヒカンのお友達が話したらしいです。これが聴きたかった。資料だけでも見たい。
申し込みサイトconnpassにも参考図書として挙げられている『EC-CUBE 4 システム構築入門&店舗運営・管理ビギナーズガイド』(西村 誠)を勉強会に申し込んだ日(勉強会の前日)にアマゾンで買う。当日に会社に届いて、ざっと予習してから勉強会へ。
EC-CUBEはメジャーバージョンでフレームワークから違ってそれぞれ違う製品に近いと思っていればよさそう。開発情報も1系(現役引退)、2系、3系、4系とメジャーバージョン毎に完全に分かれている。最新の4系の本は上記のものくらい。
セッション1:EC-CUBEの中の人の話
スピーカー:岡嶋さん(イーシーキューブ社 ロックオフ管理人)
ec-cube.coの最新情報
- SaaS型サービス。
- 毎週アップデート。
- サーバのメンテナンス不要。
- サポートあり(利用者が今は少ないので)。
EC-CUBE 4の最新情報
EC-CUBE DAY 2019
- 数年振りの開催。
- 2019/7/23(火)10:00-21:00に開催。浅草橋のヒューリックホールで。
- 過去最大1000名規模のEC祭典。
セッション2:『なんでECサイトでセキュリティって重要なの-情報漏洩が起きるとどうなるか?』
スピーカー:佐々木さん(EC-CUBE東京ユーザグループ)
セキュリティがザルだと何が起きるか。
- 踏み台にされて他への攻撃に利用される。
情報漏洩が起きるとどうなるか?
- いっぱいお金がかかる。
- 漏れた個人情報の数×2000円+訴訟費用+その他対応費用もろもろ。
- 社内も対応で疲弊する。
- 社会的信用も失う。
- 損害賠償請求を受けたりも。
過去の漏洩事件の事例
- ベネッセが260億円特別損失。
- 他にもECサイトとかで漏洩事件は起きている。
責任者とは?
- 運営会社の経営者。企業内の運営責任者。
- 特定商取引法に基づく表記に載っている人が一義的には責任者。
作った業者に責任は無いの?
- 制作会社にも製造責任はある。
何をするか。
- 漏れた時の準備をする。
- 漏れない前提ではダメ。
- たとえ漏れちゃっても「これは仕方ない」という状況にしておく。
- 問題が起きたら、まず状況の把握から始める。
- 該当サービスを止める。
- 次に、専門の弁護士に相談するのがよい。
- 可能な限り早く第一報をアナウンスする。
- 被害状況を調査。調査状況、完了予定についても進捗をアナウンス。
- 対応策を検討。場合によってはサイトの作り直しやサービスの廃止も。
3つの円が重なる図(で分かりますよね?)
- 運と利便性と責任の3つの円が重なるところが狙われる。
何をすればよいか?を知る
- ガイドラインは守る。
- 納品物のチェックを必ず行なう。
- ソフトウェアのアップデートは必ず行なう。
- 作った時だけじゃなく、継続して注意を怠らない。
NGなこと
- ベンダーに危険な要求をすること。
- 面倒だからパスワード使い回し。
- 公開エリアにphpMyAdmin置く。
- お金かかるからアップデートしない。
- 暗号化無しのFTP接続を要求。
- サポート終了したソフトウェアを使う。
- ベンダーの忠告を聞かない。
製作者は最低限のセキュリティ担保の義務がある
- 契約書に書いてなくてもやらなきゃダメ。
- XSS*4、SQLインジェクション、セッションハイジャック、CSRF*5などの一般的なWebアプリケーションの脆弱性対策はやる。これもIPAガイドラインがある。これ(安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構)かなあ*6。
EC-CUBEのセキュリティチェック
- 過去のバージョンにセキュリティホールがあった。
- EC-CUBEは危険という誤解が世間に広がり、それ以降ロックオン社(現在はイーシーキューブ社として分社化)は脆弱性に対してはメッチャ神経質になった。
- リリース前には必ず外部のセキュリティチェックを通すことに。
- 最近のトレンドマイクロのレポート『国内のECサイトを標的にする偽決済ページへの誘導手法について』*7でも改ざんされたEC-CUBEについての被害について書かれている。EC-CUBEは狙われている!
EC-CUBE管理画面「セキュリティ管理」の「システム設定」で行なえること
EC-CUBEでのクレジットカード情報の取り扱い
- 現在ではEC-CUBEが動いているサーバにはカード情報が残らない(カード情報非保持非通過)。
- 古いバージョンのモジュールを使っている場合や独自に決済機能を実装している場合は要確認。
- 開発時のログ設定をそのままにしておくと、それがセキュリティホールになることも。
質疑応答
- 管理画面URLはサイトを立ち上げた後でも変更できるか。
- 3糸と4系は問題ない。2系の古いバージョンは変更が難しい(面倒な)場合がある。
- (他にも質問があったが、メモを取っていない)
セッション3:『実際にあった本当のセキュリティ漏洩の話』
スピーカー:大塚さん(Refine社 社長)
自己紹介
「今回の話はオフレコでおねしゃす。ツイート禁止で」*8とのことだったので、内容はここにも書きません。ご勘弁を。
質疑応答(他のセッションやEC-CUBE含めて)
- 今日の話を聞く限り、EC-CUBEそのものの脆弱性を抜かれた事例はない?
- (TOKIO質問)EC-CUBE 4リリース時のプレスリリースに徳丸浩さんの会社とアドバイザリー契約を締結したとあるが、何をしてもらっているのか?
- (こちらも他にも質問があったが、メモを取っていない)
TOKIO所感
EC-CUBEのセキュリティの話が聞けるかと思っていたが、connpassの説明をよく読むと、テーマが「ECサイトのセキュリティリスクについて」と書いてあり、質疑応答の通り、EC-CUBE自体のセキュリティホール自体を突かれた事例がなく、『セッション2:なんでECサイトでセキュリティって重要なの-情報漏洩が起きるとどうなるか?』にもある通り、当たり前のことをやっていればいいことが分かった。
ただ、セッションで述べられた事例やガイドラインはTOKIO自身ウォッチできていなかったので、一通り確認しておこう。参考になるようにリンク先は全部調べておきました、パイセン!
セッションで度々出て来たが、EC-CUBEとWordPressの連携ってかなりよくある事例らしい。これまでサイトや本見ている段階ではあまり見かけなかったけど。
これはEC-CUBEのCMSが弱いからってことだろう。EC-CUBEの管理画面を触った感じからすると。後、WordPressがPHP+MySQLってのも開発者が馴染み易いのかもしれない。
まとめ
トゥギャッたので、まとめも参照。
次回
大塚さん(金髪の社長!)に「来てくださいよー」と言われたので、立ち上がったばかりのEC-CUBE千葉ユーザグループの勉強会に行く。5/28(火)の開催。Facebookにイベント立っていたので、そちらに申し込んだが、connpassもあるらしい。来たれ、千葉県民!(TXの柏の葉キャンパス駅最寄りだよ)
今日のオススメ本
EC-CUBEに関しては、コレ一択。こちらの記事が章立てが詳しい。
EC-CUBE 4 システム構築入門&店舗運営・管理ビギナーズガイド
- 作者: 西村誠
- 出版社/メーカー: ラトルズ
- 発売日: 2019/02/27
- メディア: 単行本(ソフトカバー)
- この商品を含むブログを見る
今回の話の内容に沿ったオススメはこれかな。記事でも触れた徳丸浩さんが書いた、所謂『徳丸本』。
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
- 作者: 徳丸浩
- 出版社/メーカー: SBクリエイティブ
- 発売日: 2018/06/21
- メディア: 単行本
- この商品を含むブログを見る