水無月ばけらのえび日記

EC-CUBEについて

• 株式会社ロックオン / 大阪本社・東京支社 従業員約40名
• EC-CUBEはオープンソースのECソフト
• 2007/11から配布、現在では約3,000店舗が利用。毎月200店舗くらいのペースで増加。参考情報として、楽天のショップ数は24,000くらい。3,000という数字はけっこう多いと言って良い

問題の概要

• 8/27 : EC-CUBE で SQLインジェクションの脆弱性発見、管理者権限奪取可能
• 10/1 : JVN#81111541の一般公開・IPA注意喚起

• EC-CUBEはもともとPostgreSQL専用だったが、慌ててMySQL対応した際に問題が発生した
• 当時2500あったサイトが危険にさらされており、推定で数百万件規模の個人情報がいつ抜き取られてもおかしくない状態
• 元々は軽い気持ちで開発を始めたが、いつのまにか影響が大きくなっていた

問題への対応

• 慌てて公開すると、既存利用者の対応が間に合わない
• 対応を遅らせると、毎日200件程のペースでダウンロードされて脆弱なサイトが増えて行く

→JPCERT/CCに相談

• 一時連絡では約100社に連絡。
• 24時間以内で40%程度が、48時間以内に60%程度が対応完了。その後はほぼ連絡なし
• 注意喚起しても、対応しない人はしないものらしい。
• 利用している人を把握しておくことは大切だと感じた。

IPA, JPCERT/CC を通じた公開について

• 自社発見の脆弱性を広く公開する必要があったのか? → 内容が致命的だった、自社が把握していない利用者にも周知する必要があった。
• 以前にXSSの連絡を受けたことがあったため、JPCERT/CCのことは知っていた (おそらくJVN#61543834 (jvn.jp)のこと)。
• 信頼性低下を懸念したが、結果的には悪影響はほとんどなかった。
• ダウンロードが減るどころか、むしろ増えた。この脆弱性情報を通じて初めて製品を知った人も多かったと思われる。
• 隠すのは良くない。

• 自社製品の届出自体、少ない
• 多くの場合はIPAへの届出を経由したもの。IPA経由でのハンドリングはなかなか難しい場合も……。

その後

再度、全てのソースコードを調査したところ、さらに脆弱性が発見された。

• SQLインジェクション: 1件
• XSS: 7件
• CSRF: 3件

そのため、11月に再度、脆弱性情報を公表。

最初は軽い気持ちで作ったが、世に出すのは怖い。ちゃんと相談して進めるとうまく行く。自分たちで勝手に判断して行動しなくて良かったと感じている。