ニュース

2015年10月23日、KAGOYA Internet Routing で提供されているEC-CUBEに深刻な脆弱性が存在することが分かりました。

• EC-CUBE　2.11.0～2.11.5
• EC-CUBE　2.12.0～2.12.6
• EC-CUBE　2.13.0～2.13.3

上記バージョンのEC-CUBEのユーザーは、下記の対処方法にて対応が必要です。

脆弱性について

株式会社ロックオンから以下のセキュリティホールの存在が報告されています。

クロスサイトリクエストフォージェリの脆弱性

対処方法について

この脆弱性は、eccube2_data 以下のディレクトリが対象になります。

例：コントロールパネルからインストールされたEC-CUBE で、インストール先をpublic_html/eccube/shopとしている場合、eccube2_data/eccube/shop 以下が対象です。

※ eccube2_dataディレクトリはpublic_htmlディレクトリと同じ階層に存在します。

対処手順

1. 該当ディレクトリ以下全てのバックアップを取得します。
   • バックアップサービス利用、またはFTP等でダウンロード
2. EC-CUBEの管理画面にログインし、トップページに表示されている「EC-CUBEバージョン」を確認します。
3. EC-CUBE公式サイトより、ご確認になったバージョンの修正ディレクトリ(圧縮ファイル)をダウンロードします。
4. ダウンロードしたディレクトリ(圧縮ディレクトリ)を解凍し、eccube2_data以下のディレクトリに上書きします。
   • カスタマイズをしている場合や、バージョンにより個別にディレクトリを修正する必要があります。
5. 作業後にEC-CUBEが正常に動作することを確認します。
   • 修正ファイルの適用により、プラグインが正常に動作しなくなる可能性があります。その場合、各プラグイン提供会社の対応を確認します。

WordPressの一部機能の脆弱性が悪用される事例が発生しています。この結果正規ユーザーのサイトが踏み台とされ、第三者のサイトへのDDoS攻撃が行われる可能性があります。

参考として以下の対処方法を案内されていますが、詳細はWordpress公式サイトを確認する必要があります。

• 対象ユーザー
  • Worepressの「Pingback」機能が有効になっているユーザー。
  • Wordpress3.5以降から初期設定で有効の状態です。

対処方法 (参考)

【ご注意ください】Worepressをご利用で「Pingback」機能の脆弱性

WordPressの一部機能の脆弱性が悪用される事例が発生しています。この結果正規ユーザーのサイトが踏み台とされ、第三者のサイトへのDDoS攻撃が行われる可能性があります。

参考として以下の対処方法を案内されていますが、詳細はWordpress公式サイトを確認する必要があります。

• 対象ユーザー
  • Worepressの「Pingback」機能が有効になっているユーザー。
  • Wordpress3.5以降から初期設定で有効の状態です。

対処方法 (参考)

【ご注意ください】Worepressをご利用で「Pingback」機能の脆弱性

EC-CUBE提供元である株式会社ロックオンより、脆弱性に関する情報がありました。

• 対象バージョン
  • EC-CUBE2.11, 2.12, 2.13系
• 情報内容
  • 緊急度の高い1件の脆弱性が発見
  • 本脆弱性における被害報告は現在ありません
• 詳細や対策
  • 株式会社ロックオンのサイトを参照してください。
  • http://www.ec-cube.net/info/weakness/

共用サーバー SDで提供される「WordPressインストール」のWordPressがバージョンアップしました。併せてプリインストール済みのJetpackもバージョンアップしています。

• WordPress バージョン：4.2.2 ⇒ 4.3.1
• Jetpack バージョン： 3.5 ⇒ 3.7.2

WordPressインストールとは

ブログ構築ツール「WordPress」をコントロールパネルよりかんたんに設置することができる機能です。パーミッション変更など面倒な手間もなく、本格的なWEBサイトが作成できます。また、「WordPress」においてはブログにあると便利な機能が一つのプラグインで利用できるWordPress.comの「Jetpack」がプリインストールされています。

バージョンアップの概要（WordPress 4.3.1 日本語版）

• 整形とカスタマイズの簡素化
  • 管理メニューの作成、更新、位置などの変更
  • 書式のショートカット（リストや見出しなど）
  • サイトアイコンの設定
  • パスワード管理と生成
  • ページのコメント無効化
• セキュリティの改善
  • ２つのクロスサイトスクリプティング（XSS）の脆弱性と潜在的な権限昇格に対するセキュリティリリースとなります。

4.3以前のバージョンにおける脆弱性のリリースとなるため、バージョンアップを検討してください。アップグレード前にデータベースとファイルのバックアップが推奨されます。

バージョンアップの概要（Jetpack 3.7.2）

• 管理メニューの項目の変更
  • また、その他機能強化とバグ修正がされています。

コントロールパネルからの新規作成でバージョンアップしたWordPressとJetpackがインストールされます。

新しいバージョンへのアップグレードにつきまして

WordPress管理ページ（ダッシュボード）からのアップグレードや、マイナーバージョンの自動アップデートの場合、Jetpackが同時インストール（アップグレード）されないのでご注意ください。

共用サーバー SDで提供される「WordPressインストール」のWordPressがバージョンアップしました。併せてプリインストール済みのJetpackもバージョンアップしています。

• WordPress バージョン：4.2.2 ⇒ 4.3.1
• Jetpack バージョン： 3.5 ⇒ 3.7.2

WordPressインストールとは

ブログ構築ツール「WordPress」をコントロールパネルよりかんたんに設置することができる機能です。パーミッション変更など面倒な手間もなく、本格的なWEBサイトが作成できます。また、「WordPress」においてはブログにあると便利な機能が一つのプラグインで利用できるWordPress.comの「Jetpack」がプリインストールされています。

バージョンアップの概要（WordPress 4.3.1 日本語版）

• 整形とカスタマイズの簡素化
  • 管理メニューの作成、更新、位置などの変更
  • 書式のショートカット（リストや見出しなど）
  • サイトアイコンの設定
  • パスワード管理と生成
  • ページのコメント無効化
• セキュリティの改善
  • ２つのクロスサイトスクリプティング（XSS）の脆弱性と潜在的な権限昇格に対するセキュリティリリースとなります。

4.3以前のバージョンにおける脆弱性のリリースとなるため、バージョンアップを検討してください。アップグレード前にデータベースとファイルのバックアップが推奨されます。

バージョンアップの概要（Jetpack 3.7.2）

• 管理メニューの項目の変更
  • また、その他機能強化とバグ修正がされています。

コントロールパネルからの新規作成でバージョンアップしたWordPressとJetpackがインストールされます。

新しいバージョンへのアップグレードにつきまして

WordPress管理ページ（ダッシュボード）からのアップグレードや、マイナーバージョンの自動アップデートの場合、Jetpackが同時インストール（アップグレード）されないのでご注意ください。

共用サーバー SDで提供される「WordPressインストール」のWordPressがバージョンアップしました。併せてプリインストール済みのJetpackもバージョンアップしています。

• WordPress バージョン：4.2.2 ⇒ 4.3.1
• Jetpack バージョン： 3.5 ⇒ 3.7.2

WordPressインストールとは

ブログ構築ツール「WordPress」をコントロールパネルよりかんたんに設置することができる機能です。パーミッション変更など面倒な手間もなく、本格的なWEBサイトが作成できます。また、「WordPress」においてはブログにあると便利な機能が一つのプラグインで利用できるWordPress.comの「Jetpack」がプリインストールされています。

バージョンアップの概要（WordPress 4.3.1 日本語版）

• 整形とカスタマイズの簡素化
  • 管理メニューの作成、更新、位置などの変更
  • 書式のショートカット（リストや見出しなど）
  • サイトアイコンの設定
  • パスワード管理と生成
  • ページのコメント無効化
• セキュリティの改善
  • ２つのクロスサイトスクリプティング（XSS）の脆弱性と潜在的な権限昇格に対するセキュリティリリースとなります。

4.3以前のバージョンにおける脆弱性のリリースとなるため、バージョンアップを検討してください。アップグレード前にデータベースとファイルのバックアップが推奨されます。

バージョンアップの概要（Jetpack 3.7.2）

• 管理メニューの項目の変更
  • また、その他機能強化とバグ修正がされています。

コントロールパネルからの新規作成でバージョンアップしたWordPressとJetpackがインストールされます。

新しいバージョンへのアップグレードにつきまして

WordPress管理ページ（ダッシュボード）からのアップグレードや、マイナーバージョンの自動アップデートの場合、Jetpackが同時インストール（アップグレード）されないのでご注意ください。

WordPressなどPHPで実行するプログラムを高速化できる「モジュール版PHP」がリリースされました。

「モジュール版PHP」を利用するとCGI版PHPに比べ大幅な速度改善が見込めます。

モジュール版PHPはエンタープライズプラン、または新サーバーのスタンダードプランのみ対応です。

すでにロリポップ！のユーザーで、モジュール版PHPを利用する場合は、ユーザー専用ページ内『WEBツール』の『PHP設定』より設定を変更する必要があります。

新サーバーへの移設がまだのユーザー

モジュール版PHPの利用には、新サーバーに移設する必要があります。新サーバーへの事前移設受付の案内を確認し、移設手続きをおこなってください。

エコノミープラン、ライトプランのユーザー

モジュール版PHPを利用する場合は、スタンダードプランまたはエンタープライズプランへのプラン変更が必要となります。プラン変更はユーザー専用ページ内『契約・お支払い』の『プラン変更』より可能です。なお、プラン変更後は新サーバー環境となります。

CMSかんたんインストール機能において、WordPress 4.3（2015/09/09現在 最新版）が設置されました。

提供されるWordPressはQuiccaが不正ログイン防止対策を行ったカスタムバージョン¹となっています。

WordPressはマルウェアの標的となりやすいため、既存のユーザーも、可能な限り最新版のWordPressを利用しましょう。

ロリポップでは、独自ドメインとして下記の新しいドメイン（gTLD）が利用可能となりました。

対応新ドメイン

.world / .delivery / .energy / .casa / .poker / .london / .team / .show / .jewelry / .site / .accountant / .download / .loan / .racing / .win / .tech / .lol / .hockey / .run / .taxi / .dog / .theater / .cafe / .navy / .fyi / .mba / .online / .rent / 日本語.club

ムームードメインにおいて、新ドメイン29種類の取り扱いが開始されました。

追加対象には「.team」「.show」「.tech」「.dog」などのキャッチーなドメインをはじめ、多様なドメインがそろっています。

新しいドメインなら、「.com」や「.net」などではなかなか取得できない、短い単語や語呂の良い単語など、価値の高いドメインを取得できるチャンスです。

新ドメイン（29種類）

.world .delivery .energy .casa .poker .london .team .show .jewelry .site .accountant .download .loan .racing .win .tech .lol .hockey .run .taxi .dog .theater .cafe .navy .fyi .mba .online .rent 日本語.club 　

メールアドレスのパスワード解析や漏えいによる不正ログインによりスパム（迷惑メール）送信が行われるケースが増加しております。

ヘテムルでも同様の迷惑メール送信が行われるケースが確認されております。

お客様のメールアドレスが悪用されることを防ぐためにもドメイン名や１２３４等、推測されやすいパスワードを設定いただいている場合、早急に下記の対策をお願いたします。

対策１ パスワードを推測されにくい複雑なものにする

パスワードは下記の条件を満たしたもので設定ください。

• 大文字小文字の英数を組み合わせた8桁以上の複雑なもの
  • （例：5Qn87iN0
• 辞書などに載っている言葉を使わない
  • （例：book, tokyo　等
• ドメイン名から推測しにくいもの
• メールアドレス毎に異なるもの
• アカウント名とパスワードが同じ、もしくは似ているものは利用しない
  • （例：info@pepabo.com のパスワードが pepabo , mail@heteml.jp のパスワードがmailやheteml 等）

「pepabo1019」等、単純な組み合わせの場合、辞書攻撃等で不正ログインされる恐れがございます。複雑で推測されにくいパスワードを設定ください。

info@ admin@ mail@ など一般的に利用されているアカウントのメールアドレスのパスワードは解析のターゲットになりやすいため特に複雑なものを設定ください。

対策２ ご利用の端末（パソコンなど）のセキュリティーチェック

パスワードを複雑なものに設定しても、端末（パソコン等）のウィルス感染などにより、ログイン情報が漏えいする場合があります。定期的にウィルスソフト・セキュリティーソフトでのチェックを行ってください。

EC-CUBE簡単インストール機能が、最新版（2015年10月16日現在）のEC-CUBE 3.0.4に対応しました。

EC-CUBE 3.0.4では、脆弱性の対応を含む不具合を中心に修正が行われています。詳細についてはEC-CUBE公式サイトをご覧ください。

現在EC-CUBEをご利用中の方は、公式サイトのリリースノートを参照の上、アップグレードをお勧めします。

注意

アップグレードを行う際は、利用中のテンプレートやプラグインなどが新バージョンに対応しているか、それぞれの配布元にて必ず確認してください。