並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 1069件

新着順 人気順

EC-CUBEの検索結果1 - 40 件 / 1069件

  • 「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説

    「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説(1/2 ページ) ECサイトからクレジットカードや個人情報などの情報漏えいが相次いだ2019年。記憶に新しいところでは象印、19年前半ではヤマダ電機などのECサイトからクレジットカード情報が漏えいした。セキュリティ専門家の徳丸浩氏は、「情報漏えい事件が急増した1年だった」と振り返る。情報を盗もうとする攻撃者の最新手口については「自分でも気付けるか分からない」と状況は深刻だ。 サイトはクレジットカード情報を保持していないのに…… 徳丸氏は、19年に目立った攻撃手法として「入力画面の改ざん」と「偽の決済画面」という2つの手法を挙げる。 これらの攻撃を受けるECサイトは、決済方法について2種類に分けられる。1つは、クレジットカード情報をECサイトの画面で受けつつも直接決済サーバに送り、決済サー

      「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説
    • 徳丸浩氏に聞く クレカ情報の漏洩が非保持化でも起こるワケ 2つの攻撃手法と対応策

      徳丸浩氏に聞く、クレカ情報の非保持化に潜む漏洩リスクとEC事業者の対策 ECサイトやWebサービスからの情報漏洩が相次いでおり、クレジットカード番号やセキュリティコードなど、機微な情報が漏洩する事案も散見されます。特に、クレジットカード情報は、2018年に施行された改正割賦販売法にもとづき、ECサイトやWebサービスの運営事業者では事実上、保持しないこと(非保持化)が義務付けられているなか、なぜ漏洩被害が発生してしまうのでしょうか。 本記事では、ECサイトからの漏洩事案を題材として、Webセキュリティの専門家である徳丸浩氏に「なぜクレジットカード情報の漏洩が起こってしまうのか」「ECサイト事業者はどのような対策をとるべきか」「漏洩が発生した場合、どんな流れで対応すべきか」などを伺いました。 この記事のポイント ECサイトでクレジットカード情報の漏洩事案が発生するのは、ECサイトの利用者がク

        徳丸浩氏に聞く クレカ情報の漏洩が非保持化でも起こるワケ 2つの攻撃手法と対応策
      • 脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203) - IT・システム判例メモ

        クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。 事案の概要 Xは,Xの運営する通販サイト(本件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,本件サイトの運用業務を月額20万円で委託した(本件契約)。本件サイトはEC-CUBEで作られていた。なお,XからYへの業務委託に関し,契約書は作成されておらず,注文書には「本件サイトの運用,保守管理」「EC-CUBEカスタマイズ」としか記載されていない。 2014年4月には,OpenSSL*1の脆弱性があることが公表されたが*2,本件サイトでは,OpenSSLが用いられていた。 2015年5月ころ,Xは,決済代行会社から本件サイトからXの顧客情報(クレジットカード情報を含む)が漏えいしている懸念があるとの連絡を受け(本件情報漏えい)

          脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203) - IT・システム判例メモ
        • CSRF(Cross-Site Request Forgery)攻撃について

          ふと気になって調べたことの備忘メモです ✍ (2022/11/3追記)ご指摘頂いた内容を踏まえて加筆修正をおこないました なぜ調べたか Webアプリケーションの開発に携わっていると CSRF という脆弱性への対処を求められますが、多くの場合利用しているフレームワークが設定追加だけで対応してくれたり、既に前任者によって適切な処置がされていたりなど、実務上で目を向ける機会はその重要性と比較して少ないのでないかと思います また、Webブラウザの実装やHTTP周辺の関連仕様の変化から陳腐化している情報も多く、現代において全体感と具体的な対処法を理解するには少しばかりハードルが高いように感じていました ですので、自身の現時点での認識を明文化して残しておくことにしました なお、私はWebセキュリティの専門家でなく、一介の開発者のため、誤りが多分に含まれる可能性があります ご指摘を頂ければ修正したいと思

            CSRF(Cross-Site Request Forgery)攻撃について
          • アーキテクトがチェックすべきオープンソースのWebサービス一覧

            実装の参考の当たり 前口上: オープンソースの実装を読もう 普段Web開発をしているとこの書き方は普通か、実装の方向性はよさそうか不安になることがあります。そういった際、同じリポジトリの既存実装や会社の他のリポジトリ、技術ブログや本、過去の経験、他のメンバーの意見などを参考にしつつ当たりをつけるわけですが、リファレンスが増えるに越したことはないです。 有名な言語、フレームワークではオープンソースのWebサービスがGitHub、GitLab上などにあがっていることがあり、参考になります。 それぞれライセンスがあり、とりわけGPL汚染などは要注意ですが、収集した一覧が溜まってきたのでまとめておきます。ある程度有名なものメインでスクリプト言語+Go。 Ruby Ruby on Railsは有名なので採用しているWebサービスが多数あります。 Redmine イシュー、プロジェクト管理ソフトのRe

              アーキテクトがチェックすべきオープンソースのWebサービス一覧
            • スイーツパラダイス(スイパラ)利用者のクレカ情報が不正利用されている疑惑。FGO、原神、にじさんじ、まどか、第五人格などとのコラボ期間中

              むぎ @tr_mugi クレカ不正利用されたんですが、スイパラさんクレカ情報漏れてたりしません?それ以外考えられないんですが、、、、、、、、、、そのほかはいつも利用してるところしかないので、、、 2021-12-06 23:22:22 むぎ @tr_mugi やっぱりスイパラに問い合わせます……1人の声じゃどうにもならないと思うんですが、カード会社には被害額の四万払ってくださいとか言われてしまったので、悔しすぎるので問い合わせるだけ問い合わせます。もし最近クレカの不正利用に遭われた方いらっしゃいましたら、教えていただけますと幸いです。 2021-12-09 21:46:35 八尋 @yhr__k 昨日クレジットカードの不正利用あって、Twitterでスイパラ通販利用した方が何人か不正利用のツイートされてたから念のためとりあえず問い合わせ送ってみたら早速電話きて、そういったことは今のところは

                スイーツパラダイス(スイパラ)利用者のクレカ情報が不正利用されている疑惑。FGO、原神、にじさんじ、まどか、第五人格などとのコラボ期間中
              • 達人出版会

                探検! Python Flask Robert Picard, 濱野 司(訳) BareMetalで遊ぶ Raspberry Pi 西永俊文 なるほどUnixプロセス ― Rubyで学ぶUnixの基礎 Jesse Storimer, 島田浩二(翻訳), 角谷信太郎(翻訳) 知る、読む、使う! オープンソースライセンス 可知豊 きつねさんでもわかるLLVM 柏木餅子, 風薬 徹底攻略 AWS認定 クラウドプラクティショナー教科書 第2版[CLF-C02]対応 トレノケート株式会社 高山裕司 超楕円関数への招待 楕円関数の一般化とその応用 松谷 茂樹 手を動かしてわかるクリーンアーキテクチャ ヘキサゴナルアーキテクチャによるクリーンなアプリケーション開発 Tom Hombergs(著), 須田智之(訳) 詳解 AWS CloudFormation 潮村 哲 その決定に根拠はありますか? 確率思

                  達人出版会
                • アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3ヶ月で導入企業300社突破!

                  アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3ヶ月で導入企業300社突破! 株式会社イルグルム(本社:大阪府大阪市北区 代表取締役:岩田 進、以下「イルグルム」)は、マーケティング効果測定プラットフォーム「アドエビス」が2019年10月より提供する3rd party Cookieを使わない新しい計測方法「CNAMEトラッキング」の導入企業が300社※を突破したことをお知らせいたします。 ※2020年1月14日時点310社利用 近年、オンラインにおけるプライバシー保護への関心が高まり、EUではGDPR(一般データ保護規則)が施行され、Apple社のSafariブラウザではトラッキング防止機能Intelligent Tracking Preventionが追加されるなど、ユーザー行動データの収集において大きな変化が起きています。 今年の

                    アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3ヶ月で導入企業300社突破!
                  • 4年間必死だった話とか、キャリアとか、採用とか

                    11月も終わりに近づき、なんというか哀愁漂うエモく素敵なシーズンに突入してきました。みなさまお元気でしょうか。私はまだ短パンです。個人ブログは全く更新できてないのですが、その代わりに技術的な記事はweb.dev等で執筆してきましたので、今回は特に技術的な話には触れず、今年がんばったことと今後についてエモく綴るだけのそんな本編にしていきたいと思います。会社の意見は一切代表していませんし、ありません。すべて私の個人的な見解です。 前略実は私は12月でGoogleという会社にまる4年勤めたことになります。あっという間でした。2015年の今頃入社して最初の数週間は緊張しすぎて夜寝れなかったのをよく覚えています。そのスタート地点を考えるとよく4年もやってこれたなと、必死に自分自身を叩き上げてきたなと、なんというか若輩者で恐縮の至なのですが、2019が終わりに向かうにつれて達成感が込み上がってきていま

                      4年間必死だった話とか、キャリアとか、採用とか
                    • 達人出版会

                      探検! Python Flask Robert Picard, 濱野 司(訳) BareMetalで遊ぶ Raspberry Pi 西永俊文 なるほどUnixプロセス ― Rubyで学ぶUnixの基礎 Jesse Storimer, 島田浩二(翻訳), 角谷信太郎(翻訳) 知る、読む、使う! オープンソースライセンス 可知豊 きつねさんでもわかるLLVM 柏木餅子, 風薬 デザインディレクション・ブック 橋本 陽夫 現場のプロがやさしく書いたWebサイトの分析・改善の教科書【改訂3版 GA4対応】 小川 卓 解釈可能なAI Ajay Thampi(著), 松田晃一(翻訳) PowerPoint 目指せ達人 基本&活用術 Office 2021 & Microsoft 365対応 PowerPoint基本&活用術編集部 ランサムウェア対策 実践ガイド 田中啓介, 山重徹 TODによるサステナ

                        達人出版会
                      • ECサイトのクロスサイトスクリプティング脆弱性を悪用した攻撃 - JPCERT/CC Eyes

                        攻撃者は、はじめに標的のECサイトの注文フォームに対し、不正なスクリプトを含んだ文字列を入力し、購入処理を行います(図1の①)。その結果、ECサイトの購入処理の部分にXSSの脆弱性が存在する場合、ECサイトの管理画面を閲覧した管理者は不正なスクリプトが実行され、クレデンシャル情報の窃取や、ECサイトへの簡素WebShellの設置などが行われます(図1の②~④)。その後、攻撃者によってECサイトにWebShellやユーザーの情報窃取を行うJavaScriptなどが設置されます。設置された“情報窃取JavaScript”によってECサイトを利用するユーザーのクレジットカード情報等を窃取され、“情報保存ファイル”としてECサイト内に保存されます(図1の⑤)。攻撃者は定期的なWebShellへのアクセスを行うことでこれらの情報を窃取していたと推測されます(図1の⑥)。 なお、攻撃者は、一連の攻撃の

                          ECサイトのクロスサイトスクリプティング脆弱性を悪用した攻撃 - JPCERT/CC Eyes
                        • 我々はなぜシステムを内製してきたのか、我々は何者か、我々はどこへいくのか。|Kurashicom Tech Blog

                          こんにちは、クラシコム代表の青木です。 普段はエンジニアが書いているこのブログですが、今日は僕もちょっとお邪魔して、これまでのシステム開発のことについてお話しさせてもらおうと思います。 「なんでスクラッチでシステムを内製しているんですか?」僕たちは北欧、暮らしの道具店というECメディアを運営していますが、なぜシステムを内製しているのかというのは、同業者や仲間の経営者からよく聞かれる質問です。 そして僕が一度もうまく答えられたことがない質問でもあります。 あまり知られていないのですが弊社では社員7名+フリーランサー2名、そしてベトナムにパートナー会社さんが用意して下さっているチームに5名ほど、合計14名ほどの開発者が関わって「北欧、暮らしの道具店」を構成するWEB、アプリ、各種管理システムなどをスクラッチで内製してきました。 また副業等で関わってくれてるデータサイエンティストやデータエンジニ

                            我々はなぜシステムを内製してきたのか、我々は何者か、我々はどこへいくのか。|Kurashicom Tech Blog
                          • XSSの脅威を考察する - セキュアスカイプラス

                            はじめに こんにちは!CTOのはせがわです。 先日公開された、Flatt Securityさんのブログ「開発者が知っておきたい「XSSの発生原理以外」の話」、おもしろいですね。このXSSの記事に限らず、Flatt Securityさんのブログは役に立つ記事が多い*1ので、個人的には記事が公開されるのを毎回楽しみにしています!*2 たしかに、XSSの脅威についてはなかなか理解してもらうことが難しく、また一般的にはSQLインジェクション等と比べても脅威が低く見られることも多いため、XSSの脅威について少し掘り下げて考察したいと思います。 なお、この記事は「XSSの発生原因くらいは知ってるよ」という人を対象にしています。「XSSって何だっけ」という方は クロスサイトスクリプティング対策 ホンキのキホン (1/3):CodeZine(コードジン) などの記事を参照してください。 技術的な面からの解

                            • Docker for Mac の Mutagen-based caching で Volume のパフォーマンスが劇的に改善した - Qiita

                              Docker for Mac の Mutagen-based caching で Volume のパフォーマンスが劇的に改善したSymfonyMacDockerEC-CUBEmutagen 2020/8/23 追記 2.3.5.0 の Edge release で削除されてしまった模様です。 今後の統合方法を検討するということで、続報を期待します。。 Docker for Mac の Edge channel で、 Mutagen ベースのキャッシュが使えるようになっています。(手元のバージョンは 2.3.1.0) 従来、 EC-CUBE をはじめとする Symfony をベースとしたアプリケーションや、Composer や npm などのパッケージ管理システムのファイルをマウントすると、強烈に遅くなる問題がありました。 今回利用できるようになった Mutagen ベースのキャッシュを利用

                                Docker for Mac の Mutagen-based caching で Volume のパフォーマンスが劇的に改善した - Qiita
                              • 達人出版会

                                探検! Python Flask Robert Picard, 濱野 司(訳) BareMetalで遊ぶ Raspberry Pi 西永俊文 なるほどUnixプロセス ― Rubyで学ぶUnixの基礎 Jesse Storimer, 島田浩二(翻訳), 角谷信太郎(翻訳) 知る、読む、使う! オープンソースライセンス 可知豊 きつねさんでもわかるLLVM 柏木餅子, 風薬 手を動かしてわかるクリーンアーキテクチャ ヘキサゴナルアーキテクチャによるクリーンなアプリケーション開発 Tom Hombergs(著), 須田智之(訳) 詳解 AWS CloudFormation 潮村 哲 その決定に根拠はありますか? 確率思考でビジネスの成果を確実化するエビデンス・ベースド・マーケティング 小川 貴史, 山本 寛 プログラマーのためのVisual Studio Codeの教科書【改訂2版】 川崎 庸

                                  達人出版会
                                • 発見した0dayについての技術的解説 - EC-Cube, SoyCMS, BaserCMS - Flatt Security Blog

                                  ※このブログは、セキュリティエンジニアのstyprが英語で書いた文章を翻訳し、社内で監修したものになります。 こんにちは。株式会社Flatt Securityのstypr (@stereotype32)です。 以前公開した記事「Flatt Securityは“自分のやりたいことが実現できる”場所/セキュリティエンジニア stypr」でお話した通り、私は現在Flatt Securityで0day huntingとセキュリティの診断をしています。 私は 5月に入社してから 0day hunting の業務に取り組んでいます。他の面白い業務と並行して取り組んでいるので、一つの製品にかけている時間は、最低1日からせいぜい1週間程度です。 結果、これまでの間、私はかなり多くのOSS脆弱性を見つけてきました。そこで今回の記事では、現在までに修正された脆弱性のうち、技術的に面白い選りすぐりのものを解説し

                                    発見した0dayについての技術的解説 - EC-Cube, SoyCMS, BaserCMS - Flatt Security Blog
                                  • 株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について(注意喚起) (METI/経済産業省)

                                    「EC-CUBE」の一部のバージョンには、クレジットカード番号等の漏えいの原因となる脆弱性等があることから、「EC-CUBE」を利用されているインターネットショップの皆様におかれましては、以下の点にご注意いただきますようお願いいたします。 本件概要 株式会社イーシーキューブが開発・提供するインターネットサイト構築パッケージ「EC-CUBE」の脆弱性等を突いたインターネットショップのサイトの改ざん等により、クレジットカード番号等が窃取されるといった被害が多発しております。 2019年現在までにインターネットショップが公表した漏えい事案において、約14万件のクレジットカード番号等が漏えいしていることが確認されております。 このような甚大な被害が発生している状況に鑑み、インターネットショップの皆様におかれましては、「EC-CUBE」のご利用状況について再度検証を行い、ご利用を継続する場合には、的

                                    • 人気のカートシステムは「EC-CUBE」、無料・低価格なカートシステムやフルスクラッチが意外と低調【ECマーケティング調べ】 | Web担当者Forum

                                        人気のカートシステムは「EC-CUBE」、無料・低価格なカートシステムやフルスクラッチが意外と低調【ECマーケティング調べ】 | Web担当者Forum
                                      • カスタマージャーニー作成の最新相場調査:2020年6月版

                                        Webマーケティングの施策立案において、今、活用機会が増えているカスタマージャーニー。カスタマージャーニーを活用して成果につなげるためには、ユーザー行動を正しく理解すること、そして高精度のデータ分析が不可欠です。それを自社だけで行うのは難しいですが、ツールやサービスを利用することで、簡単に着手できます。本記事では、カスタマージャーニーについて解説するとともに、関連ツール・サービスの特徴と相場感を調査しました。 カスタマージャーニーとは、メインターゲットであるユーザーが、自社の商品・サービスを認知・検討し、コンバージョン(CV)に至るまでの行動・思考・感情の変化を推測し、図式化したものです。通常、横軸にCVに至るまでのユーザー行動、縦軸に関連データや分析を基にしたユーザーの思考・感情、商品・サービスとの接点が置かれます。 Webマーケティングにおいてカスタマージャーニーが注目されているのには

                                          カスタマージャーニー作成の最新相場調査:2020年6月版
                                        • 【2022年6月1日施行】特定商取引法改正とは?EC-CUBEで対応すべき内容を解説 /

                                          【2022年6月1日施行】特定商取引法改正とは?EC-CUBEで対応すべき内容を解説 改正特定商取引法(消費者被害の防止及びその回復の促進を図るための特定商取引に関する法律等の一部を改正する法律)が2022年6月1日に施行されます。ECサイトの最終確認画面に詳細な注文内容を表示する義務が追加され、消費者を誤認させるような表現が禁止されるなど、全てのECサイトで対応が必要です。 本記事では、改正特定商取引法の説明と、EC-CUBEでの対応方法をご説明します。 注意)本記事は、消費者庁から公表されているガイドライン・説明会資料をもとに記載しています。内容の正確性には最新の注意を払っておりますが、対応に関する補償はいたしかねますので、必ずご自身でガイドライン等をご確認いただきご対応いただけますようお願いいたします。 もくじ 1.特定商取引法改正の意図と経緯 2.特定商取引法改正でECサイトが対応

                                            【2022年6月1日施行】特定商取引法改正とは?EC-CUBEで対応すべき内容を解説 /
                                          • 【2020年EC流通総額ランキング】国内18・海外27のECモール・カート・アプリの流通総額から見る市場トレンド | EC業界ニュース・まとめ・コラム「eコマースコンバージョンラボ」

                                            【2020年EC流通総額ランキング】国内18・海外27のECモール・カート・アプリの流通総額から見る市場トレンド 毎年2月~6月にかけて、世界中のEC業界の各主力プレイヤーが前年の流通総額や売上高を公開している。今年も6月に公開された中国大手アリババグループの発表で、世界の大手ECモール・カート・アプリなどの2020年の流通総額の数値データが出揃った。今回も国内外の各主力プレイヤーの値を中心に紹介していき、それぞれの市場のトレンドを見ていく。今回は昨年と比較して国内で2サービス、海外で7サービス調査対象を広げた。 注)この記事には、同じ内容の2023年最新版、EC流通総額ランキングが既に公開されています。 EC業界ニュース・まとめ・コラム「eコマースコンバ... 2023年時点最新【2022年EC流通総額ランキング】国内21・海外25のECモール・カート・アプリの流通総額から見る市場トレン

                                              【2020年EC流通総額ランキング】国内18・海外27のECモール・カート・アプリの流通総額から見る市場トレンド | EC業界ニュース・まとめ・コラム「eコマースコンバージョンラボ」
                                            • ECサイトでのクレカ情報漏えい被害が増加、消費者庁と経済産業省が注意呼びかけ 「EC-CUBE」の脆弱性を突いて偽決済画面を表示するフォームジャッキングに注意

                                                ECサイトでのクレカ情報漏えい被害が増加、消費者庁と経済産業省が注意呼びかけ 「EC-CUBE」の脆弱性を突いて偽決済画面を表示するフォームジャッキングに注意
                                              • 【重要】クレジットカード流出被害が増加しています。EC-CUBEご利用店舗のセキュリティチェックをお願いいたします。(2019/12/23) EC-CUBE

                                                【重要】クレジットカード流出被害が増加しています。EC-CUBEご利用店舗のセキュリティチェックをお願いいたします。(2019/12/23) 2019年5月より継続してご案内しておりますが、国内のECサイトにおいて、決済画面を改ざんされてクレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が日本国内で増加しています。 EC-CUBEでは特に2系をご利用の店舗でインストール時の不備や、過去発表された脆弱性対応がなされていない等をつかれて攻撃されるケースが多く発生しています。 該当バージョンをお使いの店舗様は以下をお読みいただき、必ず対策を行っていただきますようお願いいたします。 ===2020年1月21日 追記=========================================== EC-CUBEバージョン別 運用環境セキュリティチェックリストを公開しました

                                                  【重要】クレジットカード流出被害が増加しています。EC-CUBEご利用店舗のセキュリティチェックをお願いいたします。(2019/12/23) EC-CUBE
                                                • NoCodeはさほど伸びないし関わらない方が良いと思う理由 - IT業界で気づいたことをこっそり書くブログ

                                                  note.mu ノーコードがバズってるみたいですね。何度か複数の記事を見ました。 ノーコード系の記事を読むとすごく良さそうに見えてきますが、個人的にこれ系がユーザー企業以外には上手くワークしないのではいうのは数年前から思ってました。私の認識を書いておきます。 ・・・ とやる気を出してみたは良いものの、ちょっとこの話だるいですねこれ。 「SaaSもそろそろ頭打ちだしエンジニアが絡んでもしょうがないでしょ、PaaSならともかく」で全部済むと思うんですがどうでしょうか?(投げやり) サービス界隈はどうなっているのか? SaaS文脈のNoCodeはエンジニアの介在する余地がない そもそもSaaS規模が大きいわけでもない 新しい◯◯業界は見つかるか? EC業界はそもそも特殊 PaaS文脈でのNoCodeはどうか? 誰にとってNoCodeは有益か 投資家 NoCode提供側 デザイナー・コンサル ユー

                                                    NoCodeはさほど伸びないし関わらない方が良いと思う理由 - IT業界で気づいたことをこっそり書くブログ
                                                  • 複数のEC-CUBE 3.0系用プラグインにおけるクロスサイトスクリプティングの脆弱性に関する注意喚起

                                                    JPCERT-AT-2021-0028 JPCERT/CC 2021-06-15 I. 概要JPCERT/CCは複数のEC-CUBE 3.0系用プラグインの脆弱性に関する情報を確認しています。該当製品には、クロスサイトスクリプティングの脆弱性があり、悪用された場合、EC-CUBEにアクセスした管理者やユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性があります。詳細は、開発者が提供する情報を参照してください。なお、JPCERT/CCでは、脆弱性(CVE-2021-20735)を悪用した攻撃をすでに確認しています。該当製品を利用している場合は、早期のアップデートを推奨します。 ETUNA(CVE-2021-20735) 配送伝票番号プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11) https://www.ec-cube.net/release/d

                                                      複数のEC-CUBE 3.0系用プラグインにおけるクロスサイトスクリプティングの脆弱性に関する注意喚起
                                                    • WEBライターの転職の参考になるポートフォリオ制作事例3選 | 転職ポートフォリオの作り方を学ぶならアームズ

                                                      転職活動に備えて、いざ転職ポートフォリオを作ろうにも周りに相談できる人がおらず困っているという方も多いはず。 かといって、他人のポートフォリオを見れる機会なんてほとんどなく、同業者の事例を参考にしようにも、そもそも探し方が分からないなんてこともあるでしょう。 そこで、今回は「WEBライターの転職の参考になるポートフォリオ制作事例3選」について解説します。 もしWEBライターでの転職を考えているけど、ポートフォリオの作り方に悩んでいるという方は、ぜひ参考にしてみてください。 転職市場でのWEBライターの需要について 求人ボックスによると、2024年4月時点で掲載されている正社員のライターの求人数は19,267件。 中でも、正社員のWEBライターの求人数は5,740件と、ライターの全体求人数から比較すると約29.8%ほど。 このように、求人数を多く扱っている上、未経験の求人も3,223件と約5

                                                        WEBライターの転職の参考になるポートフォリオ制作事例3選 | 転職ポートフォリオの作り方を学ぶならアームズ
                                                      • 志布志市ふるさと納税サイトでクレカ情報漏えいか 脆弱性突かれ不正プログラムを設置される

                                                        鹿児島県志布志市は6月22日、「志布志市ふるさと納税特設サイト」でクレジットカード情報910件が漏えいした可能性があるとして謝罪した。不正アクセスによりサーバに不正なプログラムを設置され、ユーザーがクレジットカード決済を実行した際にカード情報を盗み出すよう改造されたのが原因としている。 問題が発覚したのは4月6日。漏えいした可能性がある情報は2021年3月12日から12月29日までの間に同サイトでクレジットカード決済を行ったユーザーのクレジットカード番号、有効期限、セキュリティコード、メールアドレス、電話番号など。 同サイトではECサイト構築システム「EC-CUBE」を利用しており、同システムの脆弱性を悪用されたのが原因としている。志布志市は再発防止策として脆弱性情報の取得と対応を徹底すること、サイト全体の脆弱性を定期的に点検することなどを挙げている。 関連記事 Microsoft、Bin

                                                          志布志市ふるさと納税サイトでクレカ情報漏えいか 脆弱性突かれ不正プログラムを設置される
                                                        • 短縮版:管理画面に対するXSS攻撃でクレジットカード情報を盗む手口 - YouTube

                                                          既に報告されているように、ECサイトの管理画面のクロスサイトスクリプティング脆弱性が狙われて、クレジットカード情報が盗まれる事件が発生しています。この攻撃は、管理画面にIPアドレス制限があっても防御されません。 この動画では、ECサイトのXSS脆弱性を狙った攻撃をデモにて紹介します。本編は短縮版なので攻撃の概要に特化しており、詳細を知りたい場合は完全版(下記)を視聴ください。本編で用いる脆弱性は現実のものではありません。 完全版: https://youtu.be/FpCabifwhKg 参考情報 ・トレンドマイクロのブログ記事 https://blog.trendmicro.co.jp/archives/27875 ・株式会社イーシーキューブのリリース https://www.ec-cube.net/news/detail.php?news_id=383 本日お伝えし

                                                            短縮版:管理画面に対するXSS攻撃でクレジットカード情報を盗む手口 - YouTube
                                                          • @junpeko5 Tech Blog

                                                            ソフトウェアエンジニア。1989年生まれ大阪府岸和田市在住のフリーランス。PHP、バックエンド開発が得意。テニス、フットサル、だんじり、ケツメイシ、競馬、プログラミングが好き!最近はWebフロントエンド沼にハマってます!

                                                              @junpeko5 Tech Blog
                                                            • 【令和元年度版】EC市場調査 ダイジェスト版|大久保洸平(New Commerce Ventures)

                                                              今回は、令和2年7月に発表された経産省による「電子商取引に関する市場調査」についてダイジェスト版を記事化します。本レポートは毎年発刊されており、EC領域に携わるものとしては、目を通しておきたいレポートです!!以下、主要な図表をもとにダイジェスト版をお送りします。 EC市場調査 ダイジェスト版 まずは、世界のEC市場です。図表7-4を見るとわかるように、世界のBoC-EC市場は今なお拡大を続けています。その規模約450兆円、EC化率にして16%と見込まれており、今後も成長し続けると予想されてます。 次に国別のEC市場です。図表7-5にあるように、国別でいうと中国が圧倒的規模であり、日本は4番手となっています。人口が半分の韓国と同じ規模のEC市場規模というのは興味深いです。人口を鑑みるとインドの伸びはこれから凄まじそうですね。 次は日本のEC市場です。図表4-4では日本のEC市場の推移を表して

                                                                【令和元年度版】EC市場調査 ダイジェスト版|大久保洸平(New Commerce Ventures)
                                                              • 「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説

                                                                「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説(2/2 ページ) 次に、決済方法にリダイレクト型を用いていた場合。バックドアの設置までは同様の手順だが、リダイレクト型ではECサイト上で番号を入力しないため、ECサイト上の入力から盗み取ることはできない。そこで攻撃者は、偽の決済画面を表示するWebサイトを用意する。 本来なら正規の決済サーバへ遷移するところを、攻撃者は偽のサーバへの遷移に書き換える。偽の決済画面に各種情報を入力させた上で、「決済エラー」の画面を表示し、正規の決済サーバへ再遷移。 最終的には正規のサーバで決済が完了するので、商品は通常通りにユーザーの手元に届く。「決済エラー」に違和感を持たない限りは、ユーザーは自分のクレジットカードなど各種情報が盗まれたことに気付かない。 徳丸氏は、「ECサイトのドメインは覚えていても、決

                                                                  「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説
                                                                • EC-CUBE2系サイトはWeb改ざんに注意 - セキュアスカイプラス

                                                                  こんにちは!脆弱性診断を絶賛修行中の西尾です! 今回は前回の記事に関連して、最近国内でWebスキミング被害(クレカ情報の漏えい)にあったECサイトについて、その傾向を調査したので、結果を書いていきます。 結論から述べますと、直近でWeb改ざんによってクレジットカード情報が流出した国内ECサイトは、その多くがEC-CUBEの2系を利用していたことが分かりました。ただ、Web改ざんの原因はEC-CUBEにあるというより、EC-CUBE利用者のセキュリティ意識に問題がありそうです。 ⇓⇓前回の記事⇓⇓ 最近流行りのWebスキミングについて調べてみた 調査内容 対象:Web改ざんによってクレジットカード情報が漏えいしたと思われる国内ECサイト 公表期間:2019年4月~11月6日 対象数:26サイト 今回は、各被害サイトが発表しているリリース内容に、「カード入力フォーム」や「ペイメントモジュール」

                                                                    EC-CUBE2系サイトはWeb改ざんに注意 - セキュアスカイプラス
                                                                  • 【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/24 17:00 更新)

                                                                    【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/24 17:00 更新)(2021/05/24) 本脆弱性告知ページの更新情報やその他脆弱性対応への最新情報は、EC-CUBE公式Twitterより発信いたします。 最新情報を取得されたい場合はTwitter公式アカウントのフォローをお願いいたします。 EC-CUBE4系ご利用の一部サイトにおいて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されています。 本脆弱性は、既に複数サイトでの攻撃を確認しており、緊急度が非常に高い脆弱性でございます。該当バージョンでサイトを運営されている場合は、緊急対応のためのHotfixパッチを公開しておりますので、内容をご確認のうえ早急にご対応をお願いいたします。 なおクラウド版 ec-cube

                                                                      【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/24 17:00 更新)
                                                                    • 今年度も PHP Foundation に寄付をしました|技術ブログ|北海道札幌市・宮城県仙台市のVR・ゲーム・システム開発 インフィニットループ

                                                                      今年度も PHP Foundation に寄付をしました こんにちは、仙台支社のいがらしです。インフィニットループは今年度も会社として、The PHP Foundation に前年度と同額の寄付をしました。アイコンのテンションがやたらとアゲアゲになっているのは、実際に支払いの手続きをした弊社のえらい人の犯行みたいです。いいぞもっとやれ。 TL;DR この記事では以下について述べています。 The PHP Foundation は PHP そのものの開発を支援する団体です 弊社を含め、日本でも何社もの企業が支援を行っています PHP の存続と発展のため、みなさんの会社でもぜひ寄付を検討してみてください 今回の寄付について 前回寄付時からの繰り返しとなりますが、弊社インフィニットループはかねてより PHP を業務で使用してきており、PHP の言語としての発展と継続にその利益をある程度依存してい

                                                                        今年度も PHP Foundation に寄付をしました|技術ブログ|北海道札幌市・宮城県仙台市のVR・ゲーム・システム開発 インフィニットループ
                                                                      • 人生最大の失敗

                                                                        WEB制作の職業訓練 私は、WEB制作の職業訓練に行ったことがあります。 民間のWEB制作会社に委託している職業訓練でした。 ここで初めて、今でも使っているillustratorやPhotoshop、 HTMLやCSSなどに触れました。 動画制作も、ここで学んだのが最初でした。 サーティファイのWEB制作の資格も受験し、 (この試験は点数が判るのですが)満点で合格しました。 職業訓練の先生も、 「今まで沢山みてきたけれど、満点で合格した人は初めてだ」 と言ってくださり、 この先生は非常に実力があって、私は尊敬していたので、 テンションも上がりました。 「俺、結構向いているんじゃないかな?」なんて思っていました。 後に、それがとんでもない勘違いであることを思い知らされることになります。 なにげなく応募した求人 ある日のことでした。 地元の求人が沢山載っているチラシみたいなのが、 ポストに投函

                                                                          人生最大の失敗
                                                                        • データベースをアップグレードしたい | さくらのサポート情報

                                                                          ウェブアプリケーションの設定変更はお客様自身で行っていただく必要があります。 なお、ウェブアプリケーションに関して、サポート外とさせていただいていますがクイックインストールに対応しているWordPress、EC-CUBE、concrete5に関する設定変更については、本マニュアルでご案内いたします。 複数のバージョンを利用中の場合はデータベースサーバー単位での申し込みになります。 ※ビジネスプロでMySQL5.1を複数利用されている場合は、データベース毎の申し込みになります。

                                                                            データベースをアップグレードしたい | さくらのサポート情報
                                                                          • 安全なウェブサイトの作り方 - 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

                                                                            ログイン後の利用者のみが利用可能なサービスの悪用 不正な送金、利用者が意図しない商品購入、利用者が意図しない退会処理 等 ログイン後の利用者のみが編集可能な情報の改ざん、新規登録 各種設定の不正な変更(管理者画面、パスワード等)、掲示板への不適切な書き込み 等 注意が必要なウェブサイトの特徴 次の技術を利用してセッション管理を実装しているウェブサイトが、CSRF攻撃による影響を受ける可能性があります。 Cookieを用いたセッション管理 Basic認証 SSLクライアント認証 また、上記を実装するウェブサイトのうち、ログイン後に決済処理等の重要な処理を行うサイトは、攻撃による被害が大きくなるため、特に注意が必要です。 届出状況 CSRFの脆弱性に関する届出が、ウェブサイトの届出全体に占める割合は、1パーセント未満と多くはありません。しかしながらこれらの脆弱性については、ソフトウェア製品の届

                                                                              安全なウェブサイトの作り方 - 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
                                                                            • 「Google Chrome 80」のHot-fixパッチ配布に関するご案内

                                                                              2020年2月17日の週にリリース予定の「Google Chrome 80」につきまして、 SameSite Cookieの仕様変更により、一部の決済手段にて、エラーが発生することが確認されています。 EC-CUBEの各バージョンに対し、SameSite Cookieの仕様変更に対するHot-fixパッチを準備しましたので適用をお願いいたします。 ■各バージョン毎のパッチ情報 2系のパッチはこちら 3系のパッチはこちら 4系のパッチはこちら ※2020年6月26日更新 hot-fixパッチを更新しました。 iOS 12・macOS 10.14のsafariで動作しない問題が解消されています。 詳しくはこちらを御覧ください。 ※2020年6月17日更新 EC-CUBE4.0.4で正式に対応しました。 iOS 12・macOS 10.14のsafariで動作しない問題が解消されています。 詳し

                                                                                「Google Chrome 80」のHot-fixパッチ配布に関するご案内
                                                                              • ECサイトとは?構築方法やサイト運営に必要な業務内容を紹介! | ITキャピタル

                                                                                「WEB制作について調べていたらECサイトというフレーズをよく聞くけど、一体何なのだろうか」という疑問をあなたは持ってはいませんか? 特に、成り行きで会社のWEB担当になってしまった方は、ECサイトという言葉の意味がわからなくても聞くに聞けないという状況なのではないでしょうか。 そこで、本記事ではECサイトの概要や実際にECサイトを開設する5つの方法を、WEB制作に詳しくない人でもわかりやすいように解説をしていきます。 本記事を読めばECサイトに関する最低限の知識が身に着くので、ECサイトに少しでも興味のある方は、ぜひ最後までお読みください。 ECサイトとは何か ECサイトとは、イーコマース(電子商取引)を行う全てのWebサイトの総称です。 ネットショップや、ネットオークションサイトと言えばわかりやすいでしょう。 実際、ECサイトという言葉は、ネットショップという意味合いで使われることが多

                                                                                  ECサイトとは?構築方法やサイト運営に必要な業務内容を紹介! | ITキャピタル
                                                                                • 経産省からEC-CUBEの脆弱性について注意喚起 EC事業者が行うべきセキュリティ対策とは?|ECのミカタ

                                                                                  昨年(2019年)12月20日に、経済産業省から「株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について」が発表された。EC-CUBEを利用しているECサイトに対して、クレジットカード番号等が窃取される危険性があることについての注意喚起が目的である。 今日、インターネットを活用するすべての企業・個人にとって、情報セキュリティは極めて大切だ。とりわけEC事業者にとっては、万が一の事態が発生した際の被害が重大であることに鑑みれば、しっかりとした対応が求められるところである。 しかし、具体的にどのように対応すべきなのかわからない、というEC事業者も少なくない。そこで、ウェブアプリケーション脆弱性診断やウェブセキュリティ強化支援などを手掛けるEGセキュアソリューションズ株式会社の代表取締役である徳丸 浩氏と、株式会社イーシーキューブの取締役社長である金 陽信氏、

                                                                                    経産省からEC-CUBEの脆弱性について注意喚起 EC事業者が行うべきセキュリティ対策とは?|ECのミカタ