EC-Cubeに、情報漏えいの可能性のあるバグが見つかった。
ヘッドライン
バグが見つかったバージョンは以下の通りらしいです。
2.11.0
2.11.1
2.11.2
2.11.3
2.11.4
2.11.5
2.12.0
2.12.1
2.12.2
2.12.3
2.12.3en.p1
2.12.3en.p2
2.12.4
2.12.4en
2.12.5
2.12.5en
2.12.5
2.12.5en
2.12.6
2.12.6en
2.13.0
↑対象バージョンや詳細は本サイトよりご確認ください。
今回発見されたバグは、登録されたお客様の情報が漏えいする可能性があるバグが発見されたそうです。
対応方法は?
バグが発見された該当ファイルを最新バージョンのファイルへ上書きアップロードすれば即対応可能だそうです。
該当バージョンを運用しておられるユーザは至急修正することをお奨めします。
この様なバグが多く感じられるが?
EC-Cubeで、この種のお話を非常に良く聞く気がしますと、よくお話を貰います。実際どうなのでしょうか。
実際に、少ないとは言い難い量のバグが発見され定期的にアップデートを繰り返しているのは事実です。
しかし、見つけるたびに潰しているのでむしろ優秀と言えます。
無償のソフトでこれだけの頻度でアップデートをしてくれるのは本当にありがたい限りだと思います。
安心して使えるのか?
もちろんこのようなことがおきれば、利用者にはこう聞かれます。
もちろん安心して使えると言えるかどうか。。。は、各店舗さんの運用ポリシーによってはNGかもしれません。
では、ほかのソフトは同様に使えるのかと言いますとそうなってくるとなかなか使えなくなります。
バグに対する対応方法は?
もちろん最新バージョンへのアップデートというのは絶対していかなければいけません。
それ以外にも個人情報に関する取扱いポリシーを決めておかなければいけません。
バグによって情報が盗まれてお客様に被害があった場合、だれの責任なのかということが出てきますが、そもそも盗まれなければこういう問題にはなりません。
ネット上でアクセスできるサーバーに個人情報を保存している時点で、どこかから盗まれる可能性はあるということです。
どんなにソフトのバグを潰してもサーバーに不正ログインされてしまっては情報はただ盗まれるばかりです。
よく、自分に甘く他人に厳しいと言いますが、ソフトのバグには厳しく対応するのに、自分で管理すべきサーバーはザルだ。。。という方が多いということです。
全方面にわたりセキュリティポリシーや運用ポリシーを決めないと、どこか一カ所だけ厳しくしても全く意味がないということを覚えておいてください。
考えたことが無い方はこれを機に一度わが社のポリシーはどうなのだ。それが個人情報保護方針というものにつながります。