株式会社イーシーキューブ(本社:大阪府大阪市北区 代表取締役社長:金 陽信)は、EC-CUBEの最新版EC-CUBE4.2.1を2023年2月28日より提供開始したことを発表いたします。
EC-CUBE4.2.1では、昨今急増しているクレジットマスター攻撃 (※1) 等、クレジットカード不正利用に効果が期待される 、フロント画面でのIP制限機能や、ログイン時以外の会員登録やパスワード再発行、注文確認といった攻撃されやすい画面で一定時間内のリクエスト制限をするスロットリング機能を追加します。その他、ファイルアップロード時や、仮会員登録時のセキュリティ向上など、全国のコミュニティやセキュリティ専門企業とも連携し、セキュリティ強化機能を追加しています。
今後、2023年の春には本人認証(多要素認証)機能をプラグインとして公開するなど、安心してEC-CUBEをご利用いただけるよう、更なるアプリケーションのセキュリティ強化をはかってまいります。

EC-CUBE4.2.1のリリースに際し、cajiya-nakamura様、kurozumi様、LeTanNghia様、maianhtu010596様、Mi-Hiroki様、nanasess様、sf-kataoka様、takeuji様、tatemaru様 はじめ沢山のご協力をいただきました。誠にありがとうございました。
※1:ソフトウエア等でカード番号を生成し、ECサイトの決済ページを悪用して有効なカード情報を割り出す不正行為。多い時には短時間に数万件単位で攻撃が繰り替えされ、クレジット番号の流出だけではなく、高額なトランザクション費用請求にもつながります。
■EC-CUBE4.2.1及び公式プラグインでのセキュリティ強化機能について
EC-CUBEでは、全国のコミュニティやセキュリティ専門企業とも連携してセキュリティ強化機能を開発しています。引き続き、EC-CUBE本体やプラグインを含めてセキュアなアプリケーションを提供してまいります。
【EC-CUBE4.2.1で実装されたセキュリティ強化機能】
より安心してEC-CUBEをご利用いただくため、セキュリティ機能を大幅に強化しました
● フロント画面へのIPアクセス制限
● スロットリング機能
● ファイルアップロードの制限
● 仮会員処理のセキュリティ強化
最新版EC-CUBE4.2.1の詳細はこちら:https://www.ec-cube.net/news/detail.php?news_id=435
【2023年春公開予定、本人認証プラグインについて】
経済産業省が事務局を務める「クレジットカード決済システムのセキュリティ対策強化検討会(第6回開催:2023年1月20日) ※2」において、クレジットカードの不正利用対策としてEMV3DSの他、ワンタイムパスワードや生体認証等による「本人認証」導入を求めていくことが協議されています。EC-CUBEでは、2023年春を目途に、SMSやアプリを活用した本人認証(多要素認証)プラグインをリリースする予定です。
※2:第6回 クレジットカード決済システムのセキュリティ対策強化検討会https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/006.html
■EC-CUBEのセキュリティ支援について
EC-CUBEでは、徹底した情報公開方針のもと、絶えず変化するコンプライアンスニーズや自社のセキュリティ要件に合わせたセキュアな事業運営をしていただけるよう、「アプリケーション」「環境」「人」を軸とした三位一体のセキュリティ支援を行っています。
EC-CUBEのセキュリティ支援の詳細はこちら:https://www.ec-cube.net/info/security/
合わせて読みたい