徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

何年も前からEC-CUBEの漏えいが多発しており、徳丸さんの会社も含め支援サービスを提供する体制も出来てはいますが、EC-CUBE利用企業が多すぎるかつそもそもそういった問題があることを認識すらしない企業が大半です。(ベンダーとは構築のみで運用の契約がないケースも多いと思います)
色々な取り組みにより多少は改善はされているでしょうけど、今後も被害が出続けることをただ見ているしかないのでしょうか。
第三者への攻撃に繋がる場合はNICTのNOTICEのような力業はありますが、ECサイトの場合は自組織に閉じた話なのでスキャンして通知するような法改正をするわけにもいかないでしょうしもどかしいです。

2021/04/06 09:21

問題意識は誠にもっともと思います。問題はECサイト側の大半が「お金はないがECサイトはやりたい」という店舗・会社であることで、お金もないのにECサイトを開設するなという法規制をしてよいか否かという話なのですよね。長期的にはそうなっていくと思いますし、割賦販売法改正はその第一歩だと思います。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
ここ10年くらいでSQLを用いないデータベースがアプリケーションで使われることが増えてきましたが、そういったデータベースのクエリによるインジェクション攻撃に対しても「SQLインジェクション」などといった名前を用いるのでしょうか?
業界の標準的な呼び方があれば教えてください。
大学生です。チケット購入サイトの「e+」を何度か利用しているのですが、私の購入したいチケットの販売が開始されるといつもアクセスが集中してまともにサイトに接続出来なくなって(そして繋がる頃には売り切れて)しまいます。
サイト管理側として、こういったアクセスの集中を予期してサーバーを増強する等の対策をすることは出来ないものなのでしょうか。それとも、技術的に可能でもこういった一時的な集中への対策はコストに見合わないものなのでしょうか。
リンク先をクリックすると、
「不正なリクエストです」や
「システムエラーが発生しました」などのエラーメッセージが表示される時があります。

仮にそれで不具合が起きたりしていたら、セキュリティの法律に引っ掛かりそうで怖いです。
不具合が起きたことと、不正アクセス禁止法とは全然違いますか?
(パラメータ値のエラーが発生した場合も含みます)
ホームページで、
・サイト障害のお知らせ
・不具合発生について(復旧済み)
というお知らせもよく見ます。

なぜこうした不具合がよく起きているのでしょうか。

また、個人の操作(URLのスペルミスで404・存在しないページのパラメータ入力値の誤り)などが原因で不具合が起きた場合も、利用者に責任が生じますか?

ありえない話だと思いますが、どうなのでしょうか?