ニュース - CPI

2015年10月23日、EC-CUBEの開発元である株式会社ロックオンから、EC-CUBEのバージョン 2.11.0 ～ 2.13.3 に関して、セキュリティ上の問題(脆弱性)があることが公表されました。

• 脆弱性が存在するEC-CUBEのバージョン
  • EC-CUBE 2.11.0 ～ 2.13.3

本脆弱性の詳細

クロスサイトリクエストフォージェリの脆弱性が存在します。

「クロスサイトリクエストフォージェリ(CSRF)」

本来拒否すべき他サイトからのリクエストを受け取り、処理してしまうこと。

• 詳細について (外部サイト)
  • EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性
  • http://jvn.jp/jp/JVN97278546/index.html

対策方法

ロックオン社から、本件の対策が行われた最新バージョン『EC-CUBE 2.13.4』がリリースされています。

EC-CUBE ユーザーは、EC-CUBE 2.13.4へのアップデートが推奨されます。

EC-CUBE 2.13.4へのアップデートが困難な場合、下記ページを参考にしてください。

• 対策方法について (EC-CUBE公式ページ)
  • EC-CUBE2.13.4 正式版をリリースいたしました。1件の脆弱性対応含む不具合修正を実施。（2015/10/23）
  • http://www.ec-cube.net/news/detail.php?news_id=258

2015 年 10 月 14 日に CPI レンタルサーバー「ストアカートプラン」「シェアードプラン」、およびマネージド専用サーバー「マネージドプラン」で提供中の「Movable Type」を 6.1.2 へバージョンアップ、ならびにインストール済みの旧バージョンから 6.1.2 へのバージョンアップ機能の提供が開始されます。

旧バージョンの Movable Type を利用しているユーザーも追加費用無しに Movable Type 6.1.2 へのバージョンアップが可能です。Movable Type 5 以前のバージョンはすでにサポート終了となっているため、6.1.2 へのバージョンアップを検討しましょう。

事前にアナウンスがありましたが、2015 年 9 月 29 日、機能が強化された共用サーバーシェアードプラン ACE01 の提供が開始されました。

WAF（Webアプリケーションファイアウォール）の標準搭載や、ウェブサーバー Apache のバージョンアップ、SFTP の追加や SSH を鍵認証へ変更するなど、よりビジネス用途に適したレンタルサーバーへと強化されました。

分かりやすい変化は、WAFの標準対応やSFTP対応といったところでしょうか。

仕様は以下の通りです。

2015 年 9 月 14 日にマイページの表示速度の改善が行われました。

これまで多くのユーザーからマイページ内の動作に関する問い合わせや要望があり、改善に向けた取り組みが進められているようです。たしかに、コントロールパネルの動作は緩慢な気はしていましたが、改善されるようなので嬉しい対応ですね。

その取り組みの第一弾として、「ご契約一覧」、「顧客一覧※」ページの表示速度が向上しました。

※「顧客一覧」はビジネスパートナー向け専用のメニューです。

他のページの表示速度、画面構成の改善は、引き続き継続して行われるようです。

CPIでは2015年11月以降、「共用SSLサーバー証明書」を順次「SHA-1」から「SHA-2」に移行します。

移行の背景は、現在各国政府機関やブラウザーベンダーなどが、より安全にSSL通信をおこなえるSHA-2への移行を勧告しており、CPIも2015年11月以降、順次SHA-2に移行することになりました。

※ 独自ドメインで取得しているSSL サーバー証明書は対象外です。

2015年9月29日、ホスティングブランド CPI の共用サーバー「シェアードプラン ACE01」において、Web アプリケーションファイアウォール（以下 WAF）機能の標準搭載やウェブサーバーの Apache2.2 系採用などの機能強化が行われます。

CPI の共用サーバー「シェアードプラン ACE01」は、複数サイトの運用を可能にするマルチドメイン機能やウェブの自動バックアップ、豊富なメール機能などが標準で付いたビジネス向けレンタルサーバーです。

サイバー攻撃の増加傾向は留まることなく、またその手口も巧妙になってきています。シェアードプラン ACE01 においてもよりセキュリティを強化させたいとの要望をお客さまからいただいていました。これらを受け、シェアードプラン ACE01 において、WAF を標準搭載します。これに加え、ウェブサーバーの Apache2.2 系採用や SSH の鍵認証対応などもおこない、機能強化を実施します。

WAF の標準搭載

WAF は、ウェブアプリケーションの脆弱性を狙う攻撃からウェブサイトを防御するセキュリティサービスです。従来では防御しきれなかった SQL インジェクションやクロスサイトスクリプティングといった攻撃の対策になります。

ジェイピー・セキュア社が提供する WAF 製品「SiteGuard Lite」を標準搭載します。なお、マルチドメインについても同様にご利用になれます。

ウェブサーバーに Apache2.2 系を採用

ウェブサーバーに Apache2.2 系を採用し、これまで以上により多くの CMS やウェブプログラムの動作要件を満たす環境が整いました。さらに、コンテンツを圧縮し、転送量を削減することで高速表示が可能になる、Apache モジュール「mod_deflate」の導入や、PHP、Perl などのプログラム実行環境のバージョンアップもおこないます。

SSH の鍵認証、SFTP への対応

これまでの IP アドレス制限のあるパスワード認証から、SSH による鍵認証へ変更します。ワークスタイルの多様化により、外出先や自宅といった複数の拠点で仕事をする働き方が増えています。

SSH の鍵認証への対応により、場所を問わず SSH でサーバーにアクセスできるようになります。これにより、Git の活用がより広がり利便性が向上します。 このほか、SFTP への対応により、SSH プロトコルを利用したファイル転送機能が追加されます。

2015年8月26日より、提供元の価格改定にともない、シェアードプランおよびマネージドプランで提供されているSSLサーバー証明書オプション「ジオトラスト クイック SSL プレミアム」の価格が改定されました。

2015年8月12日、共用レンタルサーバー シェアードプラン、マネージド専用サーバー マネージドプランにて、日本語ドメイン対応の機能強化が行われました。

この機能強化により、ウェブサイトの日本語ドメインでの運用が可能となります。

2015年6月1日に、共有レンタルサーバーシェアードプラン、専用サーバーマネージドプランにて、Gitの機能強化が行われました。

今回の機能強化により、PHPやPerlなどのスクリプトからGitコマンドを実行できるようになりました。これにより、外部のGitリポジトリとの連携を自動化できるようになるなど、より便利にGitを利用できます。

CPIのレンタルサーバーサービスでは、Visa / MasterCardでのクレジットカード決済が可能でしたが、2015年6月1日（月）よりJCB / American Expressでのクレジットカード決済も可能となりました。

利用可能なクレジットカードは、Visa / MasterCard / JCB / American Express となります。

CPIではカード情報を管理しないため、自動引き落としには対応していません。契約更新のたびに支払い手続きが必要となります。

※ 一部カード決済を利用できないサービスもあります。この場合は、銀行振込を利用します。