【Magento】データベース内に巧妙に作成されたレイアウト テンプレートが発見される
⚠️今日のコラムは、特に現在Magentoをご利用の方に読んでいただきたいコラムです。
最後に読み物を少し書いていますので、Magentoをご利用でない方も最後まで読んでいただけると嬉しいです。
まずは今日紹介するニュースをご覧ください。
ハッカーがMagentoのバグを悪用して電子商取引サイトから決済データを盗む
Magentoの重大な欠陥を悪用し、ECサイトに永続的なバックドアを埋め込む脅威が発見された。
この攻撃はCVE-2024-20720(CVSSスコア:9.1)を利用したもので、Adobeは「特殊要素の不適切な無効化」のケースとしており、任意のコード実行への道を開く可能性があると報告している。
2024年2月13日にリリースされたセキュリティアップデートの一部として、同社によって対処されている。
Sansecによると、「データベース内の巧妙に細工されたレイアウトテンプレート」が発見され、悪意のあるコードを自動的に注入して任意のコマンドを実行するために使用されているという。
「攻撃者はMagentoのレイアウトパーサーとbeberlei/assertパッケージ(デフォルトでインストールされている)を組み合わせて、システムコマンドを実行する。
レイアウトブロックはチェックアウトカートに関連付けられているため、<store>/checkout/cartがリクエストされるたびにこのコマンドが実行される。
問題のコマンドはsedで、コード実行バックドアを挿入するために使用され、その後、Stripe決済スキマーを配信し、別の侵害されたMagentoストアに金融情報をキャプチャして流出させる役割を担っている。
ロシア政府が、少なくとも2017年後半以降、スキマー・マルウェアを使用して海外のECストアからクレジットカードや決済情報を盗んだとして、6人を起訴したことが明らかになった。
容疑者はデニス・プリイマチェンコ、アレクサンドル・アセエフ、アレクサンドル・バソフ、ドミトリー・コルパコフ、ウラディスラフ・パチューク、アントン・トルマチェフの6人だ。Recorded Future Newsによると、逮捕は1年前に行われたとのことである。
「その結果、ハッカー集団のメンバーは、外国人の16万枚近い支払いカードに関する情報を不法に入手し、その後、影のインターネットサイトを通じて販売した」とロシア連邦検事総長は述べた。
Source:Hackers Exploit Magento Bug to Steal Payment Data from E-commerce Websites(The Hacker News)
Magentoをご利用の方は今すぐアップデートを
記事にもあるとおり、今年2月13日、Adobeはこの欠陥を修正したセキュリティパッチを公開しました。
まだインストールしていない方は、この機会にぜひお使いのMagentoのアップデートをおすすめします。
おわりに
文中のSansecのリンク先では、実際のXMLコードが画像付きで紹介されています。(文章は英文です。)
ご興味のある方はぜひご覧になってみてください。
Magentoとは ECプラットフォームとは
さて、ここからは読み物として書いていきます。
ECプラットフォームは、オンラインショップを開く際に基盤となる重要ツールのことで、ECショップを開くための最初の大事なステップです。
ECプラットフォームは、商品の出品(登録)から、注文の受け付け、決済処理、商品の発送手配…などなど、ECサイトの構築から運営まで幅広く担います。
これにより、たとえPCに自信がなくても、簡単に商品を販売することができます。
EC市場が世界的に拡大していく中、最近ではECプラットフォームも多岐にわたり、数多く存在します。
例えば、Amazonや楽天は、モール型ECプラットフォームです。
Amazonという1サイトの中に、多数の企業やショップ、ブランドが出店していて、まるでショッピングモールのようですよね。
Amazonや楽天では、他の既存プラットフォームからの出店も可能なので、自身のECサイトを1から立ち上げる必要がありません。
モール型にも種類があり、Yahoo!ショッピングなどのマーケットプレイス型や、楽天などのテナント型があります。
今回取り上げたMagentoは、オープンソースのECプラットフォームです。
オープンソースとは、無償で利用できるソフトウェアのことで、ソースコードが公開されていて、開発者によってソフトウェアの機能追加や修正、バグの修正などが常に行われます。
ソースコードなどを編集して、自身のECサイトを自由に1から作ることができますが、プログラミングなどの専門知識が必要です。
オープンソースのECプラットフォームは、この他にWooCommerceやJoomlaなどがあります。
世界で最も多く利用されているECプラットフォームは、WooCommerece、Shopify、そして3番目に多いのがMagentoです。
機能が豊富なMagentoは、1日あたり約5,000回ダウンロードされており、アメリカ、イギリス、オランダ、ドイツで最もよく利用されています。
ちなみにShopifyはSaaS型ECプラットフォームです。
SaaSとはSoftware as a Serviceの略で、ECサイトの機能をクラウド上で提供しているサービスです。
サーバーを持つ必要がないため、初期投資を抑えられるメリットがありますが、運営会社へサーバー利用料を含む各サービス料をサブスクリプション契約で支払う必要があります。
最適なECプラットフォームの選びかた
このように今やECプラットフォームは数多くあるわけですから、今度はどのECプラットフォームがよいか選ばなければなりません。
自社のブランドや売ろうとしている商品、ターゲットとする顧客層、コスト、使いやすさ。
これらを十分に検討した上で自身のビジネスモデルに合ったECプラットフォームを選びましょう。
たくさんありすぎて、どれがいいのかわからない!
PCに疎くて、個人で運用を続けるのは限界がある!
そんな時は、ECコンサルティング会社に相談・依頼するのもアリです。
彼らは国内EC、越境ECのエキスパートですから、数多あるECプラットフォームの特徴も網羅しているので、的確にアドバイスしてくれるでしょう。
ECコンサルティング会社の中には、その後の運用もすべてお任せできるサービスを用意している企業もあります。
プロに任せることで、例えば今回のMagentoの問題などもすばやく対応してくれますから、安心してECビジネスをおこなうことができます。
📣INFORMACIÓN
Sachiがお届けする越境ECコラムは、こちらの📖マガジン📖からまとめて一気に読めます。海外の最新ECニュースをぜひCheck it out!!