「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説(1/2 ページ) ECサイトからクレジットカードや個人情報などの情報漏えいが相次いだ2019年。記憶に新しいところでは象印、19年前半ではヤマダ電機などのECサイトからクレジットカード情報が漏えいした。セキュリティ専門家の徳丸浩氏は、「情報漏えい事件が急増した1年だった」と振り返る。情報を盗もうとする攻撃者の最新手口については「自分でも気付けるか分からない」と状況は深刻だ。 サイトはクレジットカード情報を保持していないのに…… 徳丸氏は、19年に目立った攻撃手法として「入力画面の改ざん」と「偽の決済画面」という2つの手法を挙げる。 これらの攻撃を受けるECサイトは、決済方法について2種類に分けられる。1つは、クレジットカード情報をECサイトの画面で受けつつも直接決済サーバに送り、決済サー
脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203) - IT・システム判例メモ
クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。 事案の概要 Xは,Xの運営する通販サイト(本件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,本件サイトの運用業務を月額20万円で委託した(本件契約)。本件サイトはEC-CUBEで作られていた。なお,XからYへの業務委託に関し,契約書は作成されておらず,注文書には「本件サイトの運用,保守管理」「EC-CUBEカスタマイズ」としか記載されていない。 2014年4月には,OpenSSL*1の脆弱性があることが公表されたが*2,本件サイトでは,OpenSSLが用いられていた。 2015年5月ころ,Xは,決済代行会社から本件サイトからXの顧客情報(クレジットカード情報を含む)が漏えいしている懸念があるとの連絡を受け(本件情報漏えい)
ふと気になって調べたことの備忘メモです ✍ (2022/11/3追記)ご指摘頂いた内容を踏まえて加筆修正をおこないました なぜ調べたか Webアプリケーションの開発に携わっていると CSRF という脆弱性への対処を求められますが、多くの場合利用しているフレームワークが設定追加だけで対応してくれたり、既に前任者によって適切な処置がされていたりなど、実務上で目を向ける機会はその重要性と比較して少ないのでないかと思います また、Webブラウザの実装やHTTP周辺の関連仕様の変化から陳腐化している情報も多く、現代において全体感と具体的な対処法を理解するには少しばかりハードルが高いように感じていました ですので、自身の現時点での認識を明文化して残しておくことにしました なお、私はWebセキュリティの専門家でなく、一介の開発者のため、誤りが多分に含まれる可能性があります ご指摘を頂ければ修正したいと思
実装の参考の当たり 前口上: オープンソースの実装を読もう 普段Web開発をしているとこの書き方は普通か、実装の方向性はよさそうか不安になることがあります。そういった際、同じリポジトリの既存実装や会社の他のリポジトリ、技術ブログや本、過去の経験、他のメンバーの意見などを参考にしつつ当たりをつけるわけですが、リファレンスが増えるに越したことはないです。 有名な言語、フレームワークではオープンソースのWebサービスがGitHub、GitLab上などにあがっていることがあり、参考になります。 それぞれライセンスがあり、とりわけGPL汚染などは要注意ですが、収集した一覧が溜まってきたのでまとめておきます。ある程度有名なものメインでスクリプト言語+Go。 Ruby Ruby on Railsは有名なので採用しているWebサービスが多数あります。 Redmine イシュー、プロジェクト管理ソフトのRe
スイーツパラダイス(スイパラ)利用者のクレカ情報が不正利用されている疑惑。FGO、原神、にじさんじ、まどか、第五人格などとのコラボ期間中
むぎ @tr_mugi クレカ不正利用されたんですが、スイパラさんクレカ情報漏れてたりしません?それ以外考えられないんですが、、、、、、、、、、そのほかはいつも利用してるところしかないので、、、 2021-12-06 23:22:22 むぎ @tr_mugi やっぱりスイパラに問い合わせます……1人の声じゃどうにもならないと思うんですが、カード会社には被害額の四万払ってくださいとか言われてしまったので、悔しすぎるので問い合わせるだけ問い合わせます。もし最近クレカの不正利用に遭われた方いらっしゃいましたら、教えていただけますと幸いです。 2021-12-09 21:46:35 八尋 @yhr__k 昨日クレジットカードの不正利用あって、Twitterでスイパラ通販利用した方が何人か不正利用のツイートされてたから念のためとりあえず問い合わせ送ってみたら早速電話きて、そういったことは今のところは
達人出版会
探検! Python Flask Robert Picard, 濱野 司(訳) BareMetalで遊ぶ Raspberry Pi 西永俊文 なるほどUnixプロセス ― Rubyで学ぶUnixの基礎 Jesse Storimer, 島田浩二(翻訳), 角谷信太郎(翻訳) 知る、読む、使う! オープンソースライセンス 可知豊 きつねさんでもわかるLLVM 柏木餅子, 風薬 R/RStudioでやさしく学ぶプログラミングとデータ分析 掌田津耶乃 データサイエンティストのための特徴量エンジニアリング Soledad Galli(著), 松田晃一(訳) 実践力をアップする Pythonによるアルゴリズムの教科書 クジラ飛行机 スッキリわかるサーブレット&JSP入門 第4版 国本 大悟(著), 株式会社フレアリンク(監修) 徹底攻略 基本情報技術者教科書 令和6年度 株式会社わくわくスタディワール
アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3ヶ月で導入企業300社突破!
アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3ヶ月で導入企業300社突破! 株式会社イルグルム(本社:大阪府大阪市北区 代表取締役:岩田 進、以下「イルグルム」)は、マーケティング効果測定プラットフォーム「アドエビス」が2019年10月より提供する3rd party Cookieを使わない新しい計測方法「CNAMEトラッキング」の導入企業が300社※を突破したことをお知らせいたします。 ※2020年1月14日時点310社利用 近年、オンラインにおけるプライバシー保護への関心が高まり、EUではGDPR(一般データ保護規則)が施行され、Apple社のSafariブラウザではトラッキング防止機能Intelligent Tracking Preventionが追加されるなど、ユーザー行動データの収集において大きな変化が起きています。 今年の
4年間必死だった話とか、キャリアとか、採用とか
11月も終わりに近づき、なんというか哀愁漂うエモく素敵なシーズンに突入してきました。みなさまお元気でしょうか。私はまだ短パンです。個人ブログは全く更新できてないのですが、その代わりに技術的な記事はweb.dev等で執筆してきましたので、今回は特に技術的な話には触れず、今年がんばったことと今後についてエモく綴るだけのそんな本編にしていきたいと思います。会社の意見は一切代表していませんし、ありません。すべて私の個人的な見解です。 前略実は私は12月でGoogleという会社にまる4年勤めたことになります。あっという間でした。2015年の今頃入社して最初の数週間は緊張しすぎて夜寝れなかったのをよく覚えています。そのスタート地点を考えるとよく4年もやってこれたなと、必死に自分自身を叩き上げてきたなと、なんというか若輩者で恐縮の至なのですが、2019が終わりに向かうにつれて達成感が込み上がってきていま
達人出版会
探検! Python Flask Robert Picard, 濱野 司(訳) BareMetalで遊ぶ Raspberry Pi 西永俊文 なるほどUnixプロセス ― Rubyで学ぶUnixの基礎 Jesse Storimer, 島田浩二(翻訳), 角谷信太郎(翻訳) 知る、読む、使う! オープンソースライセンス 可知豊 きつねさんでもわかるLLVM 柏木餅子, 風薬 デザインディレクション・ブック 橋本 陽夫 現場のプロがやさしく書いたWebサイトの分析・改善の教科書【改訂3版 GA4対応】 小川 卓 解釈可能なAI Ajay Thampi(著), 松田晃一(翻訳) PowerPoint 目指せ達人 基本&活用術 Office 2021 & Microsoft 365対応 PowerPoint基本&活用術編集部 ランサムウェア対策 実践ガイド 田中啓介, 山重徹 TODによるサステナ
攻撃者は、はじめに標的のECサイトの注文フォームに対し、不正なスクリプトを含んだ文字列を入力し、購入処理を行います(図1の①)。その結果、ECサイトの購入処理の部分にXSSの脆弱性が存在する場合、ECサイトの管理画面を閲覧した管理者は不正なスクリプトが実行され、クレデンシャル情報の窃取や、ECサイトへの簡素WebShellの設置などが行われます(図1の②~④)。その後、攻撃者によってECサイトにWebShellやユーザーの情報窃取を行うJavaScriptなどが設置されます。設置された“情報窃取JavaScript”によってECサイトを利用するユーザーのクレジットカード情報等を窃取され、“情報保存ファイル”としてECサイト内に保存されます(図1の⑤)。攻撃者は定期的なWebShellへのアクセスを行うことでこれらの情報を窃取していたと推測されます(図1の⑥)。 なお、攻撃者は、一連の攻撃の
我々はなぜシステムを内製してきたのか、我々は何者か、我々はどこへいくのか。|Kurashicom Tech Blog
こんにちは、クラシコム代表の青木です。 普段はエンジニアが書いているこのブログですが、今日は僕もちょっとお邪魔して、これまでのシステム開発のことについてお話しさせてもらおうと思います。 「なんでスクラッチでシステムを内製しているんですか?」僕たちは北欧、暮らしの道具店というECメディアを運営していますが、なぜシステムを内製しているのかというのは、同業者や仲間の経営者からよく聞かれる質問です。 そして僕が一度もうまく答えられたことがない質問でもあります。 あまり知られていないのですが弊社では社員7名+フリーランサー2名、そしてベトナムにパートナー会社さんが用意して下さっているチームに5名ほど、合計14名ほどの開発者が関わって「北欧、暮らしの道具店」を構成するWEB、アプリ、各種管理システムなどをスクラッチで内製してきました。 また副業等で関わってくれてるデータサイエンティストやデータエンジニ
XSSの脅威を考察する - セキュアスカイプラス
はじめに こんにちは!CTOのはせがわです。 先日公開された、Flatt Securityさんのブログ「開発者が知っておきたい「XSSの発生原理以外」の話」、おもしろいですね。このXSSの記事に限らず、Flatt Securityさんのブログは役に立つ記事が多い*1ので、個人的には記事が公開されるのを毎回楽しみにしています!*2 たしかに、XSSの脅威についてはなかなか理解してもらうことが難しく、また一般的にはSQLインジェクション等と比べても脅威が低く見られることも多いため、XSSの脅威について少し掘り下げて考察したいと思います。 なお、この記事は「XSSの発生原因くらいは知ってるよ」という人を対象にしています。「XSSって何だっけ」という方は クロスサイトスクリプティング対策 ホンキのキホン (1/3):CodeZine(コードジン) などの記事を参照してください。 技術的な面からの解
Docker for Mac の Mutagen-based caching で Volume のパフォーマンスが劇的に改善した - Qiita
Docker for Mac の Mutagen-based caching で Volume のパフォーマンスが劇的に改善したSymfonyMacDockerEC-CUBEmutagen 2020/8/23 追記 2.3.5.0 の Edge release で削除されてしまった模様です。 今後の統合方法を検討するということで、続報を期待します。。 Docker for Mac の Edge channel で、 Mutagen ベースのキャッシュが使えるようになっています。(手元のバージョンは 2.3.1.0) 従来、 EC-CUBE をはじめとする Symfony をベースとしたアプリケーションや、Composer や npm などのパッケージ管理システムのファイルをマウントすると、強烈に遅くなる問題がありました。 今回利用できるようになった Mutagen ベースのキャッシュを利用
達人出版会
探検! Python Flask Robert Picard, 濱野 司(訳) BareMetalで遊ぶ Raspberry Pi 西永俊文 なるほどUnixプロセス ― Rubyで学ぶUnixの基礎 Jesse Storimer, 島田浩二(翻訳), 角谷信太郎(翻訳) 知る、読む、使う! オープンソースライセンス 可知豊 きつねさんでもわかるLLVM 柏木餅子, 風薬 1週間でAWS認定資格の基礎が学べる本 鮒田文平, 相川諒太, 日暮拓也, 川畑光平 徹底攻略ITパスポート教科書+模擬問題 令和5年度 間久保 恭子 徹底攻略Python 3 エンジニア認定[基礎試験]問題集 株式会社ビープラウド, 一般社団法人Pythonエンジニア育成推進協会, 株式会社ソキウス・ジャパン 徹底攻略 AWS認定 ソリューションアーキテクト − アソシエイト教科書 第3版[SAA-C03]対応 鳥谷部
達人出版会
探検! Python Flask Robert Picard, 濱野 司(訳) BareMetalで遊ぶ Raspberry Pi 西永俊文 なるほどUnixプロセス ― Rubyで学ぶUnixの基礎 Jesse Storimer, 島田浩二(翻訳), 角谷信太郎(翻訳) 知る、読む、使う! オープンソースライセンス 可知豊 きつねさんでもわかるLLVM 柏木餅子, 風薬 R/RStudioでやさしく学ぶプログラミングとデータ分析 掌田津耶乃 データサイエンティストのための特徴量エンジニアリング Soledad Galli(著), 松田晃一(訳) 実践力をアップする Pythonによるアルゴリズムの教科書 クジラ飛行机 スッキリわかるサーブレット&JSP入門 第4版 国本 大悟(著), 株式会社フレアリンク(監修) 徹底攻略 基本情報技術者教科書 令和6年度 株式会社わくわくスタディワール
発見した0dayについての技術的解説 - EC-Cube, SoyCMS, BaserCMS - Flatt Security Blog
※このブログは、セキュリティエンジニアのstyprが英語で書いた文章を翻訳し、社内で監修したものになります。 こんにちは。株式会社Flatt Securityのstypr (@stereotype32)です。 以前公開した記事「Flatt Securityは“自分のやりたいことが実現できる”場所/セキュリティエンジニア stypr」でお話した通り、私は現在Flatt Securityで0day huntingとセキュリティの診断をしています。 私は 5月に入社してから 0day hunting の業務に取り組んでいます。他の面白い業務と並行して取り組んでいるので、一つの製品にかけている時間は、最低1日からせいぜい1週間程度です。 結果、これまでの間、私はかなり多くのOSS脆弱性を見つけてきました。そこで今回の記事では、現在までに修正された脆弱性のうち、技術的に面白い選りすぐりのものを解説し
株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について(注意喚起) (METI/経済産業省)
「EC-CUBE」の一部のバージョンには、クレジットカード番号等の漏えいの原因となる脆弱性等があることから、「EC-CUBE」を利用されているインターネットショップの皆様におかれましては、以下の点にご注意いただきますようお願いいたします。 本件概要 株式会社イーシーキューブが開発・提供するインターネットサイト構築パッケージ「EC-CUBE」の脆弱性等を突いたインターネットショップのサイトの改ざん等により、クレジットカード番号等が窃取されるといった被害が多発しております。 2019年現在までにインターネットショップが公表した漏えい事案において、約14万件のクレジットカード番号等が漏えいしていることが確認されております。 このような甚大な被害が発生している状況に鑑み、インターネットショップの皆様におかれましては、「EC-CUBE」のご利用状況について再度検証を行い、ご利用を継続する場合には、的
Webマーケティングの施策立案において、今、活用機会が増えているカスタマージャーニー。カスタマージャーニーを活用して成果につなげるためには、ユーザー行動を正しく理解すること、そして高精度のデータ分析が不可欠です。それを自社だけで行うのは難しいですが、ツールやサービスを利用することで、簡単に着手できます。本記事では、カスタマージャーニーについて解説するとともに、関連ツール・サービスの特徴と相場感を調査しました。 カスタマージャーニーとは、メインターゲットであるユーザーが、自社の商品・サービスを認知・検討し、コンバージョン(CV)に至るまでの行動・思考・感情の変化を推測し、図式化したものです。通常、横軸にCVに至るまでのユーザー行動、縦軸に関連データや分析を基にしたユーザーの思考・感情、商品・サービスとの接点が置かれます。 Webマーケティングにおいてカスタマージャーニーが注目されているのには
【2022年6月1日施行】特定商取引法改正とは?EC-CUBEで対応すべき内容を解説 改正特定商取引法(消費者被害の防止及びその回復の促進を図るための特定商取引に関する法律等の一部を改正する法律)が2022年6月1日に施行されます。ECサイトの最終確認画面に詳細な注文内容を表示する義務が追加され、消費者を誤認させるような表現が禁止されるなど、全てのECサイトで対応が必要です。 本記事では、改正特定商取引法の説明と、EC-CUBEでの対応方法をご説明します。 注意)本記事は、消費者庁から公表されているガイドライン・説明会資料をもとに記載しています。内容の正確性には最新の注意を払っておりますが、対応に関する補償はいたしかねますので、必ずご自身でガイドライン等をご確認いただきご対応いただけますようお願いいたします。 もくじ 1.特定商取引法改正の意図と経緯 2.特定商取引法改正でECサイトが対応
【2020年EC流通総額ランキング】国内18・海外27のECモール・カート・アプリの流通総額から見る市場トレンド | EC業界ニュース・まとめ・コラム「eコマースコンバージョンラボ」
【2020年EC流通総額ランキング】国内18・海外27のECモール・カート・アプリの流通総額から見る市場トレンド 毎年2月~6月にかけて、世界中のEC業界の各主力プレイヤーが前年の流通総額や売上高を公開している。今年も6月に公開された中国大手アリババグループの発表で、世界の大手ECモール・カート・アプリなどの2020年の流通総額の数値データが出揃った。今回も国内外の各主力プレイヤーの値を中心に紹介していき、それぞれの市場のトレンドを見ていく。今回は昨年と比較して国内で2サービス、海外で7サービス調査対象を広げた。 注)この記事には、同じ内容の2023年最新版、EC流通総額ランキングが既に公開されています。 EC業界ニュース・まとめ・コラム「eコマースコンバ... 2023年時点最新【2022年EC流通総額ランキング】国内21・海外25のECモール・カート・アプリの流通総額から見る市場トレン
【重要】クレジットカード流出被害が増加しています。EC-CUBEご利用店舗のセキュリティチェックをお願いいたします。(2019/12/23) EC-CUBE
【重要】クレジットカード流出被害が増加しています。EC-CUBEご利用店舗のセキュリティチェックをお願いいたします。(2019/12/23) 2019年5月より継続してご案内しておりますが、国内のECサイトにおいて、決済画面を改ざんされてクレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が日本国内で増加しています。 EC-CUBEでは特に2系をご利用の店舗でインストール時の不備や、過去発表された脆弱性対応がなされていない等をつかれて攻撃されるケースが多く発生しています。 該当バージョンをお使いの店舗様は以下をお読みいただき、必ず対策を行っていただきますようお願いいたします。 ===2020年1月21日 追記=========================================== EC-CUBEバージョン別 運用環境セキュリティチェックリストを公開しました
製品 コミュニケーション メッセージング マルチチャネルのテキストメッセージとメディアメッセージの送受信を180か国以上で
NoCodeはさほど伸びないし関わらない方が良いと思う理由 - IT業界で気づいたことをこっそり書くブログ
note.mu ノーコードがバズってるみたいですね。何度か複数の記事を見ました。 ノーコード系の記事を読むとすごく良さそうに見えてきますが、個人的にこれ系がユーザー企業以外には上手くワークしないのではいうのは数年前から思ってました。私の認識を書いておきます。 ・・・ とやる気を出してみたは良いものの、ちょっとこの話だるいですねこれ。 「SaaSもそろそろ頭打ちだしエンジニアが絡んでもしょうがないでしょ、PaaSならともかく」で全部済むと思うんですがどうでしょうか?(投げやり) サービス界隈はどうなっているのか? SaaS文脈のNoCodeはエンジニアの介在する余地がない そもそもSaaS規模が大きいわけでもない 新しい◯◯業界は見つかるか? EC業界はそもそも特殊 PaaS文脈でのNoCodeはどうか? 誰にとってNoCodeは有益か 投資家 NoCode提供側 デザイナー・コンサル ユー
JPCERT-AT-2021-0028 JPCERT/CC 2021-06-15 I. 概要JPCERT/CCは複数のEC-CUBE 3.0系用プラグインの脆弱性に関する情報を確認しています。該当製品には、クロスサイトスクリプティングの脆弱性があり、悪用された場合、EC-CUBEにアクセスした管理者やユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性があります。詳細は、開発者が提供する情報を参照してください。なお、JPCERT/CCでは、脆弱性(CVE-2021-20735)を悪用した攻撃をすでに確認しています。該当製品を利用している場合は、早期のアップデートを推奨します。 ETUNA(CVE-2021-20735) 配送伝票番号プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11) https://www.ec-cube.net/release/d
WEBライターの転職の参考になるポートフォリオ制作事例3選 | 転職ポートフォリオの作り方を学ぶならアームズ
転職活動に備えて、いざ転職ポートフォリオを作ろうにも周りに相談できる人がおらず困っているという方も多いはず。 かといって、他人のポートフォリオを見れる機会なんてほとんどなく、同業者の事例を参考にしようにも、そもそも探し方が分からないなんてこともあるでしょう。 そこで、今回は「WEBライターの転職の参考になるポートフォリオ制作事例3選」について解説します。 もしWEBライターでの転職を考えているけど、ポートフォリオの作り方に悩んでいるという方は、ぜひ参考にしてみてください。 転職市場でのWEBライターの需要について 求人ボックスによると、2024年4月時点で掲載されている正社員のライターの求人数は19,267件。 中でも、正社員のWEBライターの求人数は5,740件と、ライターの全体求人数から比較すると約29.8%ほど。 このように、求人数を多く扱っている上、未経験の求人も3,223件と約5
鹿児島県志布志市は6月22日、「志布志市ふるさと納税特設サイト」でクレジットカード情報910件が漏えいした可能性があるとして謝罪した。不正アクセスによりサーバに不正なプログラムを設置され、ユーザーがクレジットカード決済を実行した際にカード情報を盗み出すよう改造されたのが原因としている。 問題が発覚したのは4月6日。漏えいした可能性がある情報は2021年3月12日から12月29日までの間に同サイトでクレジットカード決済を行ったユーザーのクレジットカード番号、有効期限、セキュリティコード、メールアドレス、電話番号など。 同サイトではECサイト構築システム「EC-CUBE」を利用しており、同システムの脆弱性を悪用されたのが原因としている。志布志市は再発防止策として脆弱性情報の取得と対応を徹底すること、サイト全体の脆弱性を定期的に点検することなどを挙げている。 関連記事 Microsoft、Bin
既に報告されているように、ECサイトの管理画面のクロスサイトスクリプティング脆弱性が狙われて、クレジットカード情報が盗まれる事件が発生しています。この攻撃は、管理画面にIPアドレス制限があっても防御されません。 この動画では、ECサイトのXSS脆弱性を狙った攻撃をデモにて紹介します。本編は短縮版なので攻撃の概要に特化しており、詳細を知りたい場合は完全版(下記)を視聴ください。本編で用いる脆弱性は現実のものではありません。 完全版: https://youtu.be/FpCabifwhKg 参考情報 ・トレンドマイクロのブログ記事 https://blog.trendmicro.co.jp/archives/27875 ・株式会社イーシーキューブのリリース https://www.ec-cube.net/news/detail.php?news_id=383 本日お伝えし
@junpeko5 Tech Blog
ソフトウェアエンジニア。1989年生まれ大阪府岸和田市在住のフリーランス。PHP、バックエンド開発が得意。テニス、フットサル、だんじり、ケツメイシ、競馬、プログラミングが好き!最近はWebフロントエンド沼にハマってます!
今回は、令和2年7月に発表された経産省による「電子商取引に関する市場調査」についてダイジェスト版を記事化します。本レポートは毎年発刊されており、EC領域に携わるものとしては、目を通しておきたいレポートです!!以下、主要な図表をもとにダイジェスト版をお送りします。 EC市場調査 ダイジェスト版 まずは、世界のEC市場です。図表7-4を見るとわかるように、世界のBoC-EC市場は今なお拡大を続けています。その規模約450兆円、EC化率にして16%と見込まれており、今後も成長し続けると予想されてます。 次に国別のEC市場です。図表7-5にあるように、国別でいうと中国が圧倒的規模であり、日本は4番手となっています。人口が半分の韓国と同じ規模のEC市場規模というのは興味深いです。人口を鑑みるとインドの伸びはこれから凄まじそうですね。 次は日本のEC市場です。図表4-4では日本のEC市場の推移を表して
「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説(2/2 ページ) 次に、決済方法にリダイレクト型を用いていた場合。バックドアの設置までは同様の手順だが、リダイレクト型ではECサイト上で番号を入力しないため、ECサイト上の入力から盗み取ることはできない。そこで攻撃者は、偽の決済画面を表示するWebサイトを用意する。 本来なら正規の決済サーバへ遷移するところを、攻撃者は偽のサーバへの遷移に書き換える。偽の決済画面に各種情報を入力させた上で、「決済エラー」の画面を表示し、正規の決済サーバへ再遷移。 最終的には正規のサーバで決済が完了するので、商品は通常通りにユーザーの手元に届く。「決済エラー」に違和感を持たない限りは、ユーザーは自分のクレジットカードなど各種情報が盗まれたことに気付かない。 徳丸氏は、「ECサイトのドメインは覚えていても、決
こんにちは!脆弱性診断を絶賛修行中の西尾です! 今回は前回の記事に関連して、最近国内でWebスキミング被害(クレカ情報の漏えい)にあったECサイトについて、その傾向を調査したので、結果を書いていきます。 結論から述べますと、直近でWeb改ざんによってクレジットカード情報が流出した国内ECサイトは、その多くがEC-CUBEの2系を利用していたことが分かりました。ただ、Web改ざんの原因はEC-CUBEにあるというより、EC-CUBE利用者のセキュリティ意識に問題がありそうです。 ⇓⇓前回の記事⇓⇓ 最近流行りのWebスキミングについて調べてみた 調査内容 対象:Web改ざんによってクレジットカード情報が漏えいしたと思われる国内ECサイト 公表期間:2019年4月~11月6日 対象数:26サイト 今回は、各被害サイトが発表しているリリース内容に、「カード入力フォーム」や「ペイメントモジュール」
【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/24 17:00 更新)
【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/24 17:00 更新)(2021/05/24) 本脆弱性告知ページの更新情報やその他脆弱性対応への最新情報は、EC-CUBE公式Twitterより発信いたします。 最新情報を取得されたい場合はTwitter公式アカウントのフォローをお願いいたします。 EC-CUBE4系ご利用の一部サイトにおいて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されています。 本脆弱性は、既に複数サイトでの攻撃を確認しており、緊急度が非常に高い脆弱性でございます。該当バージョンでサイトを運営されている場合は、緊急対応のためのHotfixパッチを公開しておりますので、内容をご確認のうえ早急にご対応をお願いいたします。 なおクラウド版 ec-cube
今年度も PHP Foundation に寄付をしました|技術ブログ|北海道札幌市・宮城県仙台市のVR・ゲーム・システム開発 インフィニットループ
今年度も PHP Foundation に寄付をしました こんにちは、仙台支社のいがらしです。インフィニットループは今年度も会社として、The PHP Foundation に前年度と同額の寄付をしました。アイコンのテンションがやたらとアゲアゲになっているのは、実際に支払いの手続きをした弊社のえらい人の犯行みたいです。いいぞもっとやれ。 TL;DR この記事では以下について述べています。 The PHP Foundation は PHP そのものの開発を支援する団体です 弊社を含め、日本でも何社もの企業が支援を行っています PHP の存続と発展のため、みなさんの会社でもぜひ寄付を検討してみてください 今回の寄付について 前回寄付時からの繰り返しとなりますが、弊社インフィニットループはかねてより PHP を業務で使用してきており、PHP の言語としての発展と継続にその利益をある程度依存してい
EC-CUBE4は無料でネットショップを構築できるCMSですが、Wordpressに比べて情報量も少なく、Twigの書き方も覚える必要がるので難しいと感じる方が多いと思います。わかってしまえばそれほど難しくないのですが、分かるまでが結構つらいんですよね(僕も苦労しました)。 このページではEC-CUBE4初心者の方でも分かりやすく、テンプレートやデザインのカスタマイズ方法を具体的に解説していきます! EC-CUBE4.2対応 一番安いデザインテンプレート EC-CUBE4.2対応に対応したレスポンシブテンプレートを公開しています。あらかじめデザインされたUIブロックを多数同梱しているので、面倒なコーディングなしに今すぐショップを構築したい方におすすめ。 -> 詳細はこちら EC-CUBE4 テンプレートカスタマイズの基礎 カスタマイズを始める前にEC-CUBE4のテンプレート構造と開発環境
人生最大の失敗
WEB制作の職業訓練 私は、WEB制作の職業訓練に行ったことがあります。 民間のWEB制作会社に委託している職業訓練でした。 ここで初めて、今でも使っているillustratorやPhotoshop、 HTMLやCSSなどに触れました。 動画制作も、ここで学んだのが最初でした。 サーティファイのWEB制作の資格も受験し、 (この試験は点数が判るのですが)満点で合格しました。 職業訓練の先生も、 「今まで沢山みてきたけれど、満点で合格した人は初めてだ」 と言ってくださり、 この先生は非常に実力があって、私は尊敬していたので、 テンションも上がりました。 「俺、結構向いているんじゃないかな?」なんて思っていました。 後に、それがとんでもない勘違いであることを思い知らされることになります。 なにげなく応募した求人 ある日のことでした。 地元の求人が沢山載っているチラシみたいなのが、 ポストに投函
こちらのマニュアルでは、データベースアップグレード機能についてご案内しています。 コントロールパネルからの操作により、指定した日時に対象のデータベースを現在提供中のバージョンへ簡単にコピーを行う機能です。 ウェブアプリケーションの設定変更はお客様自身で行っていただく必要があります。 なお、ウェブアプリケーションに関して、サポート外とさせていただいていますがクイックインストールに対応しているWordPress、EC-CUBE、concrete5に関する設定変更については、本マニュアルでご案内いたします。 複数のバージョンを利用中の場合はデータベースサーバー単位での申し込みになります。 ※ビジネスプロでMySQL5.1を複数利用されている場合は、データベース毎の申し込みになります。
安全なウェブサイトの作り方 - 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
ログイン後の利用者のみが利用可能なサービスの悪用 不正な送金、利用者が意図しない商品購入、利用者が意図しない退会処理 等 ログイン後の利用者のみが編集可能な情報の改ざん、新規登録 各種設定の不正な変更(管理者画面、パスワード等)、掲示板への不適切な書き込み 等 注意が必要なウェブサイトの特徴 次の技術を利用してセッション管理を実装しているウェブサイトが、CSRF攻撃による影響を受ける可能性があります。 Cookieを用いたセッション管理 Basic認証 SSLクライアント認証 また、上記を実装するウェブサイトのうち、ログイン後に決済処理等の重要な処理を行うサイトは、攻撃による被害が大きくなるため、特に注意が必要です。 届出状況 CSRFの脆弱性に関する届出が、ウェブサイトの届出全体に占める割合は、1パーセント未満と多くはありません。しかしながらこれらの脆弱性については、ソフトウェア製品の届
「常に多種多様な攻撃にさらされているECサイトを死守しつつ、攻めの売上を目指し、お客様サポートもする」セキュリティーのイベント、Hardening II SUに参加し、グランプリになってきました! 脆弱性だらけの環境を修復しつつサービスを安定稼働させ、お客様メールサポート、商品画像の入れ替えなどもしながら商品購入クローラーにお買い物をしてもらい、売上を競います。 もこです 札幌で開催されたHardening Project 2019 II SUに参加し、グランプリになってきました! Hardeningとは 「常に多種多様な攻撃にさらされているECサイトを死守しつつ、攻めの売上を目指し、お客様サポートもする」セキュリティーのイベントです。 脆弱性だらけの環境を修復しつつサービスを安定稼働させ、お客様メールサポート、商品画像の入れ替えなどもしながら商品購入クローラーにお買い物をしてもらい、売上
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説
CSRF(Cross-Site Request Forgery)攻撃について
アーキテクトがチェックすべきオープンソースのWebサービス一覧
ECサイトのクロスサイトスクリプティング脆弱性を悪用した攻撃 - JPCERT/CC Eyes
人気のカートシステムは「EC-CUBE」、無料・低価格なカートシステムやフルスクラッチが意外と低調【ECマーケティング調べ】 | Web担当者Forum
カスタマージャーニー作成の最新相場調査:2020年6月版
【2022年6月1日施行】特定商取引法改正とは?EC-CUBEで対応すべき内容を解説 /
ECサイトでのクレカ情報漏えい被害が増加、消費者庁と経済産業省が注意呼びかけ 「EC-CUBE」の脆弱性を突いて偽決済画面を表示するフォームジャッキングに注意
Twilio(トゥイリオ) | SMS、音声、ビデオ、二要素認証用のコミュニケーションAPI | Twilio
複数のEC-CUBE 3.0系用プラグインにおけるクロスサイトスクリプティングの脆弱性に関する注意喚起
志布志市ふるさと納税サイトでクレカ情報漏えいか 脆弱性突かれ不正プログラムを設置される
短縮版:管理画面に対するXSS攻撃でクレジットカード情報を盗む手口 - YouTube
【令和元年度版】EC市場調査 ダイジェスト版|大久保洸平(New Commerce Ventures)
「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説
EC-CUBE2系サイトはWeb改ざんに注意 - セキュアスカイプラス
【2022最新】EC-CUBE4初心者のためのテンプレートカスタマイズ方法
データベースをアップグレードしたい | さくらのサポート情報
Hardening II SUでグランプリになってきました | DevelopersIO