2015年、サイバーセキュリティ企業RiskIQ 最初に追跡を始​​めた 「ゆるい連合」によって行われたカードスキミング攻撃 オンラインクレジットカードスキマーの彼らは、彼らが観察した攻撃方法のために、Magecartと吹き替えました。 mage.phpコード Magentoのウェブサイトのカートセクション。」 

過去XNUMX年間で、 複数の犯罪グループ Magecartと呼ばれるものは、その数が増える一方で進化を続けてきました。 サイバー攻撃者のこの幅広いネットワークは、大混乱を引き起こし、ワイアードのリストを作成しました 最も危険な人々 彼らはその疑わしい区別を獲得した時点で、すでに少なくとも2018のサイトにアクセスしています。

しかし、Magecartの悪名の高まりは彼らを遅くしませんでした。 2019年XNUMX月、Cyber​​scoopは、 新しいMagecartスタイルの攻撃 Magento、OpenCart、またはOSCommerce決済プラットフォームを使用してサイトからデータを盗むことができます。 

わずかXNUMXか月後、PCI Security Standards Council（PCI SSC）とRetail＆Hospitality ISAC（RH-ISAC） 共同声明を発表した オンライン販売者に対するMagecartのリスクについて、そして2020年初頭には FBIが発行されました 同様の警告。

今日、Magecartは健在であり、Magentoプラットフォームの脆弱なサイトに対する脅威のままです。 

2年の第2019四半期に行われた調査に基づいて、サイバーセキュリティ会社のForegenixは、 中小企業の87％ Magentoプラットフォームでは、他の一般的なプラットフォーム上のWebサイトの10％未満と比較して、攻撃のリスクが高くなりました。

Magentoの最も重要な1つのセキュリティリスク、Magento XNUMXのサポート終了がセキュリティに与える影響、およびプラットフォームのストアのセキュリティを強化する方法を見てみましょう。 

Magentoに見られる一般的なセキュリティリスク 

オープンソースのプラットフォームMagentoは、セキュリティの問題に対して脆弱な場合があります。 オープンソースソフトウェアにはオープンな開発プロセスがあり、加盟店は独自のソースコードを編集できます。 このコントロールの利点は、柔軟性とカスタマイズの大きなチャンスです。 ただし、デメリットには、Magentoの共有責任モデルに基づいて、サイトを安全に保つために特定の責任を負っていることが含まれます。 

新しいセキュリティパッチを発行してから実際にインストールするまでの間に、危険にさらされる可能性があります。 また、ソフトウェアが最新バージョンに更新されていない場合、つまりあなたの責任も、悪意のある人物が侵入する余地をさらに残していることになります。 

一部の企業にとって、オープンソースのカスタマイズと社内制御は魅力的ですが、それに伴う大きなリスクに備える必要があります。 以下は、一般的に見られる最大のセキュリティリスクの一部です。 Magento eコマース サイト。

1.サーバー攻撃。 

If あなたのeコマースサイト が管理下のサーバーでホストされている場合、分散型サービス拒否攻撃からサーバーを保護する準備をする必要があります。 これらの攻撃はDDoSとも呼ばれ、意図的にサーバーをトラフィックで圧倒し、サービスを中断します eコマースサイト. 

正当な顧客があなたの店の駐車場に入るのを妨げている交通渋滞と考えてください。 毎分、買い物客があなたの店を閲覧したり、購入を完了したりできない場合は、収益を失う可能性があります。

2.ウェブサイトの改ざん。 

時には、悪意のあるユーザーは大混乱をもたらしたいだけです。 ウェブサイトの改ざんには通常、ホームページが破壊されたり、サイト全体のさまざまなファイルが削除されたりすることが含まれます。 通常、攻撃は個人的なものではありませんが、多くの攻撃者は、サイトを改ざんするときにわいせつまたは憎悪的なメッセージを残します。 

2019年XNUMX月、Magento セキュリティパッチを発行しました Magento Commerceにリモートコード実行の扉を開いた脆弱性。これは、攻撃者がサイトを改ざんする方法のXNUMXつです。 サードパーティのアプリや統合でも、この種の脆弱性が発生する可能性があります。

もちろん、改ざんがすぐに発見されない場合、これはブランドの評判に影響を与える可能性があります。 買い物客があなたを信じているなら eコマース サイトが不安定になると、購入を完了するために支払い情報を引き渡す前に躊躇します。

3.クレジットカードのハイジャック。

クレジットカードのハイジャックは、カードスキミングまたはサイレントカードキャプチャとも呼ばれ、攻撃者が脆弱性を悪用して、ショッピングカートからの支払いデータを利用できる場合に発生します。 これが、マジェカートの攻撃者として知られています。

この種のサイバー攻撃は 既知のソフトウェアの脆弱性の悪用 悪意のあるJavaScriptコードをオンラインチェックアウトソフトウェアシステムに挿入する。 侵入に対する障壁は比較的低く、クレジットカードは電子商取引サイトへのサイバー攻撃の一般的な形態になっています。 

これの最大の危険のXNUMXつは、長期間にわたって検出されずに、機密の個人情報や支払い情報が漏洩する可能性があることです。 顧客の個人情報を失い、ID盗難のリスクにさらすことは、信頼を失い、顧客の獲得と忠誠を妨げる最も早い方法のXNUMXつです。 この ビザ書類の詳細 サイトのセキュリティが侵害された場合にすべきこと 

4.ボットネット。 

ボットネットの目的は、ありふれたタスクを自動的に実行することです。そして、人間や人間のグループが夢見るよりもはるかに高速です。 ボットの最も一般的な使用法である「クロール」は、実際には悪意のあるものではありません。 これは、グーグルのような検索エンジンがあなたのサイトが存在し、そこに何が含まれているのかを知る方法です。 

しかし、場合によっては、接続されたマシンのWebにマシンを追加して、他の誰かの制御下に置くことができます。 その時点で、ボットネットは悪意のある活動を実行するために使用できます。たとえば、スパムメールをあなたのアドレスから何百万ものインターネットユーザーに送信します。 これにより、ブランドに対する受信者の信頼が低下するだけでなく、サーバーがスパムフィルターによってブラックリストに登録されている場合、メールの配信可能性が低下する可能性があります。

マゼントの日没1

6月に30、2020、Magento 1.X — Magentoの一連のバージョン—は正式に廃止されます。 つまり、「EndofLife」に到達します。 つまり、Magentoは製品のアップデートを作成したり、セキュリティパッチを発行したりしなくなります。 

それはあなたの店がインターネットから姿を消したり、あなたがビジネスを全く行うことができなくなることを意味するものではありませんが、それは多くの重要な挑戦の全体をもたらします： 

• セキュリティパッチがないと、新しい脆弱性が発見された場合にデータ侵害の危険にさらされます。
• サードパーティの統合との互換性が失われ、サイトのパフォーマンスが不安定になり、一貫性が失われる可能性があります。
• コア機能の改善の欠如は、競合他社に遅れをとるリスクがあることを意味します。 これらの「生活の質」の修正がなければ、長期にわたるサイトのパフォーマンス おそらく苦しむでしょう このMagentoの開発代理店によると、速度、視覚的なバグ、レイアウトが遅くなります。

EOLが深刻な問題を引き起こした後もプラットフォームに留まると、サイバーセキュリティがその1つになります。 Magento XNUMXの販売終了後も残っている小売業者は、深刻なセキュリティリスクにさらされている可能性があります。 

Magento 1を使用し続けている場合に発生する可能性のある他の潜在的なフラストレーションをいくつか紹介します。 

• サードパーティのアプリは新しいアップデートを入手する可能性が低く、最終的にはMagento 1と互換性がなくなります。
• ストアの新しい拡張機能は、あるとしてもごくわずかです。 あるMagento開発機関は、次のように書いています。 サポートしなくなりました サードパーティの拡張機能…（開発者の裁量による）。」
• 一部の開発機関はMagento 1のサイトでの作業を停止する可能性があり、EOLの日付を過ぎると、これは増加傾向になる可能性があります。 
• Magentoがサポートを提供したり、セキュリティパッチを開発したり、高品質の修正プログラムを発行したりしなければ、あなたとチームは、これまでの日常のメンテナンスだけでなく、レガシーソフトウェアの基本的な安全性と機能性についても完全に責任を負います。 

Magento 1のサポート終了：セキュリティリスクの増加 

Magentoがセキュリティパッチとソフトウェアアップデートを含むバージョン1をサポートしなくなったため、Magento 1にマーチャントPCIコンプライアンスを危険にさらす新しい脆弱性が発見された場合、マーチャントは必要なセキュリティ対策を講じて責任を負う必要があります。 PCIコンプライアンス。 これを怠ると、評判が失われ、ストアの脆弱性や 顧客データ. 

リスクを取っても構わないとしても、 支払いプロバイダー ではないかもしれません。 

Magento 1の廃止は秘密ではないため、リスクのレベルも高くなります。 最後のセキュリティパッチが発行された後、サイバー犯罪者は潜在的な脆弱性を探す場所を正確に知ることができます。 

1.セキュリティパッチはありません。 

Magento Open Source 1（以前はCommunity Editionと呼ばれていました）を使用している場合は、新しい機能が表示されないことに慣れている可能性があります。 会社 2018年XNUMX月に発表 彼らはこのバージョンのサポートが終了するまでセキュリティパッチを発行するだけであり、これ以上の品質の修正は発行されません。 

しかし、これらのセキュリティパッチの終了は非常に大きな問題です。 オープンソースであろうとエンタープライズであろうと、サポート終了後に誰かがMagento 1システムの脆弱性を特定した場合、Magentoにパッチを適用する人は誰もいません。 

ちょうど昨年1月、Magentoは12のセキュリティ脆弱性に対処するMagento1のアップデートをリリースしました。 Magento XNUMXの日没は、脆弱性の機会を排除するものではありません。 実際、マーチャントは自分でパッチを開発したり、パッチを持っているMagento開発者を見つけたりすることに夢中になっているため、修正がはるかに難しくなります。 その場合は、チームの準備が整っていることを確認する必要があります。 

また、Magento 1がまだサポートされていたときとは異なり、そのセキュリティチームはパッチをインストールするだけでなく、パッチを作成する必要があります。 それには、より多くの開発者リソースと、それらを支払うコストが必要になります。

2. PCIコンプライアンスの喪失。 

PCI DSSを維持するには、組織が安全なシステムとアプリケーションを開発および維持する必要があります。これには、システムとソフトウェアを保護するための予防的な対策の実施、およびベンダーが提供する重要なセキュリティパッチのインストールが含まれます。 

PCIコンプライアンスを維持するために、自分の力ですべてを実行していることを確認する必要があります。 コンプライアンスから外れると、ほとんどの評判の良い支払いプロバイダーと協力できなくなる可能性があります。 彼らはあなたがあなたが安全に支払いを受け入れることができることを証明するためにあなたが適切なセキュリティ対策を実装したことを知りたいでしょう。

3.ランサムウェア。 

ランサムウェアは、自分のデータにアクセスできないようにするマルウェアの一種です。 ここで「身代金」の部分が登場します。悪意のあるユーザーがデータを「人質」に保持し、身代金を請求します。 彼らはあなたがそれを支払うならば、彼らはあなたにあなたのデータを返すだろうと主張します。 時々彼らはそうします—そして時々そうではありません。 いずれにせよ、軽減することは費用のかかる問題です。 

EOLの後にM1でランサムウェア攻撃を可能にする新しい脆弱性が発見された場合は、パッチを適用する責任があります。 2016年、Digital Commerce 360​​によると、Magento 発行されたセキュリティパッチ そして、「コンテンツ管理システムのマルウェアを防ぐための予防策として」拡張機能を削除しました。ランサムウェアは、最新のものを維持することを支持する最高の議論のXNUMXつです。 サイトの包括的なバックアップ そしてあなたのデータ。 

4.エクステンションベースの脆弱性。 

サイトを最新の状態に保つことは、拡張機能を最新の状態に保つことも意味します。 2019年の初めに、セキュリティ研究者のWillem de Grootは、 脆弱なサードパーティの拡張機能 攻撃の最も一般的なソースでした。 

ただし、これらの複数の更新を調整することは困難な場合があります。また、技術スタックの連動部分を変更すると、他の部分に意図しない結果が生じる可能性があります。 Magentoからのサポートがなければ、そして拡張機能の開発者がMagento 2に集中するようになると、これはチームにとってさらに厄介な問題になります。 

5. Magentoサポートの欠如。 

日没後にMagento1を使い続けると、アップデートとセキュリティパッチはなくなります。 つまり、セキュリティと機能の責任はあなただけにあります。 ストアを保護し、サイバー攻撃から保護する方法を見つけるために、開発者（できればMagentoに精通している開発者）にアクセスできることを確認する必要があります。 

Magento 1ストアをどのように保護できますか？ 

Magento1でサイトを保護するためのオプションはかなり限られています。 Magentoのサポートがないことに気付いたら、XNUMXつの選択肢は、パートタイムまたはフルタイムのセキュリティコンサルタントを雇って、攻撃の防止に集中することです。 それはすぐに高くつく可能性があります。 

一部のマネージドホスティング会社は、プラットフォームのセキュリティを提供するとしているホスティングサービスも提供しています。 これらのソリューションは、サーバーのセキュリティを管理して次のような攻撃を阻止できます。 DDoS攻撃、それは完全なソリューションではありません。 ほとんどの企業は、Magentoのソースコードに必要なパッチやアップデートを提供していません。 このルートを取ることも高価になるので、それに応じて予算を準備してください。

Magento 2でセキュリティリスクはなくなりますか？ 

同じレベルのリスクはありません マゼント2 寿命が尽きた後もMagento 1にとどまるかのように。 すべての問題が自動的に解消されるわけではありませんが、少なくともMagentoは脆弱性を積極的に探し、それらのパッチを発行します。 eコマースプラットフォームは、発見された脆弱性を修正するために2019年にXNUMXつのセキュリティアップデートを発行しました。

ただし、 Magento 1からMagento 2 新しいeコマースプラットフォームを完全に選択した場合と同様に、完全な移行が必要です。 

Magento 2 Webサイトを保護するための手順 

Magento 1を使い続けると、サイトを安全に保つためにフープを飛び越えることができます。 Magentoがサポート、パッチ、アップデートを提供するため、Magento 2のインストールのセキュリティを確保することは、それよりもかなり簡単です。ただし、PCIコンプライアンスを管理し、パッチとアップデートを正しく適用していることを確認する必要があります。離れて。 

Magento 2は技術的にPCIに準拠していますが、マーチャントがソースコードに変更を加え始めると、セキュリティに対する責任が増します。 MagentoのSharedResponsibilityページから：「お客様が責任を負う カスタマイズされたアプリケーションと独自のプロセスのPCI要件について。」 

Magentoが共有責任に関するウェブページに書いているように、「　 顧客が責任を負います Magento Commerceクラウド環境で実行されているMagento Commerceアプリケーションのカスタマイズされたインスタンスのセキュリティのため。」 つまり、次のことを行う必要があります。 

• 安全な構成とコーディングを確認します。
• 侵入テストや定期的な脆弱性スキャンなどの予防的なセキュリティ監視を実施します。
• すべてのカスタマイズ、拡張機能、アプリ、または統合のセキュリティを確保します。 
• すべてのコード展開セキュリティパッチアプリケーションを制御します。

また、ストアをカスタマイズするほど、将来の更新プログラムやパッチをインストールすることが難しくなります。 これは、Magento 2に再プラットフォーム化した場合でも、課題が引き続き発生することを意味します。ただし、これらの更新とパッチはセキュリティにとって重要です。 賭け金はそれらを無視するには高すぎます。

1.セキュリティ警告にサインアップし、すべてのMagentoセキュリティパッチをインストールします。

Magentoから送信されるすべての情報を入手し、セキュリティ警告、発行されたパッチ、またはソフトウェアの更新に即座に対応するようにしてください。 脆弱性が発見されたら、サイトを安全に保つために、できるだけ早く開発チームに修正を実装させる必要があります。

2. Magentoセキュリティ拡張機能を追加します。

Webサイトのセキュリティを強化するためにインストールできるMagento専用のセキュリティ拡張機能がいくつかあります。 これらの拡張機能は、特定のIPアドレスのブロック、ログインセキュリティの強化、不正な注文や支払いからの保護、マルウェアの検出と削除などの機能を提供する場合があります。 

3. Magento Security Scanを監視します。

Magentoのセキュリティセンターでは、セキュリティリスクの監視、マルウェアパッチの更新、ウェブサイトへの不正アクセスの検出に使用できる無料のスキャンを提供しています。 スキャンをスケジュールして、選択した間隔で自動的に実行し、店舗のセキュリティをリアルタイムで把握できます。

4. WAFを使用します。 

WAFはWebアプリケーションファイアウォールです。 これを使用すると、悪意のあるWebトラフィックを除外することで、さまざまな種類の攻撃を防ぐことができます。 WAFは、クロスサイト偽造、クロスサイトスクリプティング、ファイルインクルード、SQLインジェクションなどの攻撃から保護できます。 WAFはセキュリティツールキットの重要なツールですが、唯一のセキュリティ対策としてWAFに依存するべきではありません。

5. XNUMX段階認証を有効にします。

XNUMX段階認証により、システムへのログインが保護され、パスワード保護に加えてセキュリティがさらに強化されます。 ユーザーは、パスワードを使用してサインインするだけでなく、ユーザーのメールに送信された一意のコードを入力するなどのXNUMX番目の要素で自分の身元を確認する必要があります。 

新しい安全なeコマースプラットフォームに移行する 

Magento 2に移行する場合でも、新しいeコマースプラットフォームプロバイダーに切り替える場合でも、データ移行や新しいテーマやテンプレートを含む完全なプラットフォームの再構築が行われます。 ご存知のように、これには非常に時間がかかります。 

プロセス全体を実行する場合は、最初に他のオプションを調べて、Magentoがストアにとって適切なプラットフォームであるかどうかを再評価する価値があります。

ここでは、主要なeコマースプラットフォームのいくつかを見てみましょう。 このディシジョンツリーを使用して、ビジネスに最適なものを決定してください。

次のようなオープンSaaS eコマースプラットフォームへの移行 BigCommerce は、セキュリティリスクを大幅に削減し、チームがソフトウェアとセキュリティの更新を行う必要をなくすのに役立ちます。 

選択する SaaSプラットフォーム には、ホスティング、信頼性の高いパフォーマンス、およびセキュリティが含まれています。 プラットフォームはすべてのソフトウェアアップデートとセキュリティパッチを処理し、サーバー攻撃からユーザーを保護し、PCIコンプライアンスを維持します。 （注：Magento Commerce Cloudにもホスティングが含まれていますが、 責任分担モデル セキュリティのため。）

柔軟な API BigCommerceから、必要なものを構築し、拡張機能にシームレスに接続し、創造的なデジタルエクスペリエンスで革新し、成長に合わせて拡張できます。 BigCommerceは、次のようなオプションもサポートしています レス、以前はオープンソースプラットフォームを必要としていたProgressive Web Appsを含みます。 

まとめ

ストアがまだMagento1を使用している場合は、重大な決定を下す必要があり、時間が不足しています—すぐに。 

EOLの日付後もM1にいる場合は、

• セキュリティパッチとソフトウェアアップデートに関するMagentoからのサポートが失われます。 
• サードパーティの拡張機能が相互に、またはMagento 1ソフトウェアで動作しなくなり、サイトの機能やビジネスの運用が著しく妨げられる可能性があります。
• セキュリティとソフトウェアのパフォーマンスを確保するために、高額な開発コストが発生します。 

マゼント 1 EOL ビジネスとしての真のeコマースニーズを再検討する機会を提供します—そしてあなたが苦労して稼いだ収入をどこに割り当てたいのか。 

あなたがより少ないあなたを残すオプションを探しているなら セキュリティー上の問題 成長に焦点を合わせ、柔軟でオープンなSaaSプラットフォームにリプラットフォームできるように、夜更かしをして、今日から始めましょう。 

BigCommerceの安全なソリューションで再プラットフォーム化します。

出典：https://www.bigcommerce.com/blog/magento-security-vulnerabilities/