情報処理推進機構(IPA)は2009年7月27日、オープンソースのECサイト構築パッケージ「EC-CUBE」で、脆弱性のある旧バージョンを使用しているサイト運営者に対し、迅速なバージョンアップの実施を求める「注意喚起」を行った。対策済みのバージョンが公表されているにもかかわらず未適用のWebサイトがあるとの届け出が増加したことを受けた。
IPAによると、旧バージョンのEC-CUBEには、「郵便番号自動入力処理でのクロスサイト・スクリプティングの脆弱性」(2008年11月公表)、「SQLインジェクションの脆弱性」(同)などの脆弱性があり、悪用されると、ユーザーのWebブラウザ上で任意のスクリプトを実行されたり、遠隔の第三者に管理者権限を取得される可能性があるという。特に、SQLインジェクションの脆弱性は、3段階の深刻度で最も高い「危険」(CVSS基本値7.5)に指定されている。
7月9日公開の現行バージョン2.4.1では、これらの脆弱性については対策済み。EC-CUBEの脆弱性に関するIPAへの届け出は、4月にはゼロだったが、5月に18件、6月に31件と急増。具体的には、「郵便番号自動入力処理でのクロスサイト・スクリプティングの脆弱性」の修正バージョン未適用のWebサイトの届け出が49のにのぼったことなどから「注意喚起」が必要と判断した。
IPAは、放置しておくと不正アクセスを受ける危険性が高い脆弱性について、迅速な対応を求める「緊急対策情報」を随時発信している。対象となる脆弱性を使った攻撃が確認されている場合は「緊急対策情報」、未確認の場合は「注意喚起」を行っている。
「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200907_ec-cube.html#L1
緊急対策情報・注意喚起一覧
http://www.ipa.go.jp/security/announce/alert.html
EC-CUBE脆弱性一覧
http://www.ec-cube.net/info/weakness/index.php
ロックオン
http://www.lockon.co.jp/