対応事例
[コラム]古いEC-CUBE(イーシーキューブ)をそのままお使いではないですか?
「EC-CUBE(イーシーキューブ)」は、株式会社イーシーキューブが提供する「オープンソース」のEC構築パッケージです。国内で35,000店舗以上※が利用しており、ECサイト(通販サイト)に必要な基本的な機能が揃ったパッケージを無料でダウンロードすることができます。
利用にはダウンロードしたパッケージをサーバーに設置する必要があり、構築にはある程度以上の知識が必要となるため、ショッピングモールやASP型・クラウド型のECサイトよりは導入のハードルが高くなりますが、EC-CUBEはオープンソースのためデザインや機能のカスタマイズの自由度が高く、機能を追加するためのプラグインも豊富で、非常に人気があります。
維持にかかる費用も、ご自身で保守・管理を行えば、サーバー・ドメイン・決済代行会社への手数料程度の負担で抑えられるのも人気の理由の1つです。
EC-CUBEは長年開発が続けられ、○系と呼ばれるバージョンがあり、2系、3系とバージョンを重ねて現在の最新版はEC-CUBE4系となっています。
※EC-CUBE公式サイトによる発表
自分で設置したEC-CUBEは自分でアップデートしなくてはいけない
ASP型・クラウド型のサービスは、サービス提供者側が常に最新の状態に保ってくれるため、サービスが続いている間はメンテナンスフリーで利用することが出来ますが、自分で設置したEC-CUBEは、新しいバージョンが公開された際や、脆弱性に関するアップデートがあった場合には、自分で対処する必要があります。
アップデートせずに使い続けることは、セキュリティ上大きなリスクがあり、推奨されません。
アップデートせずに使い続ける場合どんなリスクがあるか
WordPressなどでも古いバージョンをそのまま使い続けることにはリスクが存在しますが、ECサイトはお客様の情報をお預かりするため、セキュリティには特に慎重になる必要があります。
脆弱性を突いた不正アクセス被害
古いバージョン(2.11以前~2.13)には重大な脆弱性が存在しており、脆弱性を突かれた不正アクセス被害が度々報じられています。
[参考]
東映ビデオ オンラインショップで不正アクセス、クレジットカード情報1万件以上漏洩の可能性
株式会社肉の御嵩屋「肉の御嵩屋オンライン SHOP」(EC-CUBE2系)でクレジットカード情報530 件が流出
セキュリティコード含むクレジットカード情報流出、EC-CUBE の脆弱性突かれ(マグファイン)
オープンソースとは、無償でソースコードが公開されており、誰でも無償でダウンロードすることができます。それがEC-CUBEの人気の理由でもありますが、誰にでも公開されているということは、誰でも本体のソースコードを見ることができるということです。また、利用者が多いツールはどうしても不正アクセスのターゲットになりやすいという面もあります。
EC-CUBEも例外ではなく、脆弱性を突かれた不正アクセス被害が度々発生しており、クレジットカード情報を抜き取られるなどの被害が発生しました。古いEC-CUBEの脆弱性については、2019年12月20日に、経済産業省から注意喚起が出されたこともあります。
見つかった脆弱性は、開発元から脆弱性に対する修正方法が発表されています。
該当するバージョンをご利用の場合は対応が必要です。
設置後に施行された法令に対応していない場合がある
また、2018年6月1日に「割賦販売法の一部を改正する法律」(改正割賦販売法)が施行されましたが、クレジットカード情報は非保持化が義務付けられましたが、古いバージョンのEC-CUBEの決済モジュール(クレジットカード決済を利用するために必要な追加機能)では対応していません。
利用している決済代行会社などから利用者に向けて通知された対策を対応する必要があります。
設置しているサーバーの仕様変更で動作しなくなる可能性がある
EC-CUBE2.13系まではphp5.4以上で動作しましたが、php7.0以上には対応していません。既にphp7.2以前のバージョンは公式のセキュリティサポートが終了しているため、レンタルサーバーでもphp5.xの提供を終了するところが出始めています(2021年06月現在)
php7.4以上に対応している最新のEC-CUBE2.17やEC-CUBE4系など、サーバーから提供されるPHPのバージョンに対応したEC-CUBEへのバージョンアップが必要になります。
また、この問題はご契約のサーバー側の問題のため、サーバー側が古いバージョンのPHPを引き続き使える方法を用意していない場合、利用できるPHPのバージョンに対応したEC-CUBEに移行する必要があります。
アップデートやバージョンアップは少し大変
EC-CUBE4系では、比較的簡単にバージョンアップができるプラグインが無償配布されていますが、2系や3系では、必要なファイルを差し替えたり、書き換えを行ったりする必要があるため、専門知識がない方が対応するのは少し大変です。
それならばEC-CUBE4系にバージョンアップしてしまえば楽になるのかというと、同じEC-CUBEという名前ながら2系・3系・4系はそれぞれがほとんど別物なため、今現在EC-CUBE2系をお使いの方がEC-CUBE4系にバージョンアップするのは、サイトを作り直すのと同じぐらい大変です。
では、古いEC-CUBEを利用している場合はどうすれば良いのか
EC-CUBEセキュリティチェックモジュールでチェックする
EC-CUBEをご利用の場合は、まずEC-CUBE公式のオーナーズストアで配布されているEC-CUBEセキュリティチェックモジュールを導入し、チェックいただくことをおすすめします。
見つかった項目は、必ず対応しておきましょう。
ご自身で対応することが難しい場合や、モジュールやプラグインが上手くインストール出来ない場合は、MDSでもご相談を承っておりますので、どうぞお気軽にご相談ください。
最新バージョンに移行する
2021年6月24日現在、最新のバージョンはEC-CUBE 4.0.6です。現時点ではPHP8には対応しておらず、php7.4のサポート期限が2022年11月で終了するため今後もメンテナンスが必要になりますが、「EC-CUBE4.0.5からEC-CUBE4.0.6へ」のようなバージョンアップには専用のプラグインもあるため、バージョンアップも比較的容易です。
デフォルトのデザインテンプレートもレスポンシブ対応でスタイリッシュなものとなっているため、「どうしてもガラケーに対応しなくてはいけない」といったようなこだわりが無ければ、最新のEC-CUBE4系の導入がおすすめです。
クラウド型・ASP型のカートに移行する
クラウド型・ASP型のカートは、月額の利用料金が必要になるところがほとんどですが、サービス提供側がプラットフォームを常に最新の状態に保ってくれます。また、各サービスは24時間不正アタック監視など、高いセキュリティを提供しているため、ショップオーナーはメンテナンスフリーで販売に集中することができます。
クラウド型・ASP型のサービスは、「Shopify(ショッピファイ)」が有名ですが、EC-CUBEも開発元が提供する「ec-cube.co」があります。
月額の利用料金が必要になるとはいえ、クラウド型・ASP型のサービスを利用することで、これまでにご紹介したメンテナンスやアップデート、セキュリティやサーバ保守にかかるコストを抑えることができます。
また、「ec-cube.co」の特徴として、高い拡張性が挙げられます。オープンソース版と同じプラグインが利用できるのはもちろん、「Standardプラン」ではカスタマイズ機構が解放され、自社サーバーにオープンソース版を設置した時と同じようなカスタマイズを行うことが出来るようになります。
これはクラウド版だけでなくEC-CUBEに共通して言えることですが、日本で開発されたショッピングカートのため、例えば「のし」のような日本のECサイト事情に通じた機能が充実しているのも嬉しいところです。
ECサイトは作って終わりではありません
今回は、古いEC-CUBEを使い続けることへのリスクをご紹介させていただきましたが、この問題はEC-CUBEが悪いのではなく、使い続けていくうちに環境や状況はどんどん変わっていくため、自分で契約したサーバーにオープンソースのカートやCMSを設置する場合は避けて通れない問題です。
オープンソースを利用することで初期費用を抑えることができますが、長く運営していく場合は、メンテナンスにかかるコストも見据えた選択が必要です。
デザインの流行なども鑑みれば、およそ2~3年でのリニューアルが一つの目安になりますし、セキュリティを大切にしたいECサイト(通販サイト)だからこそ、クラウド型・ASP型のサービスの導入を含めた「メンテナンス」を大切にしたいところです。
ECサイトのメンテナンス・移行はお気軽にご相談ください
MDSでは、EC-CUBE2系・3系から4系への移行はもちろん、「Shopify」「ec-cube.co」への移行のご相談も承っております。EC-CUBE2系から4系まで多数のEC-CUBEサイト構築を手掛けてきたMDSが、これまでの実績を活かし、貴方のECサイトに最適な方法をご提案させていただきますので、まずはお気軽にご相談ください。