アカウントロック機能プラグインについて

あなたのECサイト、アカウントロック機能は入っていますか？

クレジットカード決済の導入・継続に求められるセキュリティ要件（PCI DSS v4.0.1）のひとつが「アカウントロック機能」です。

本プラグインは、EC-CUBEのシステム管理画面へのログイン失敗が一定回数を超えたアカウントを自動でロックし、不正アクセスからサイトを守ります。

主な機能

• 自動アカウントロック — 連続ログイン失敗が設定回数に達すると、該当アカウントを自動でロックします
• 時間経過による自動解除 — 設定した時間が経過すると、ロックは自動で解除されます
• 管理画面からの手動解除 — メンバー編集画面から、管理者がいつでもロックを手動解除できます
• ロック履歴の記録 — ロック発生・自動解除・手動解除の履歴を、IPアドレスとともに記録します。繰り返し攻撃の発見に役立ちます
• 柔軟な設定 — ロックまでの失敗回数・ロック時間を管理画面から自由に変更できます（初期値：10回失敗で15分ロック）

Symfonyの `login_throttling` との違い

EC-CUBE 4.3のベースであるSymfonyには `login_throttling`（ログイン試行制限）機能が存在しますが、本プラグインは以下の点で異なります。

	login_throttling	本プラグイン
制限の対象	IPアドレスやユーザー名単位での試行回数制限	アカウント単位でのロック
管理画面での可視性	なし（内部的にレート制限するのみ）	ロック状態・履歴をすべて管理画面で確認可能
管理者による手動解除	不可	メンバー編集画面からワンクリックで解除
ロック履歴・IPアドレスの記録	なし	発生日時・IPアドレス・イベント種別を記録
セキュリティ要件への適合	要件を満たすとは限らない	PCI DSS v4.0.1のアカウントロック要件を意識した設計

`login_throttling` はあくまで「一定時間内の試行回数を制限する」ものであり、管理者が状況を把握・対処する手段を持ちません。本プラグインは、ロック状態の可視化・履歴の記録・手動解除を備えており、セキュリティ運用としてアカウントロック機能を「導入している」と言える状態を実現します。

免責事項

• 本プラグインは、他のプラグインとの併用における動作を保証するものではありません。導入前に、ご利用中のプラグイン環境でのテストを推奨します。
• 本プラグインは、EC-CUBEシステム管理画面のセキュリティ向上に寄与しますが、不正アクセスの完全な防止や、100%の資産保護を約束するものではありません。総合的なセキュリティ対策の一環としてご利用ください。
• 本プラグインは、デジタルコンテンツという商品の性質上、ご購入後の返金には対応いたしかねます。ご購入前に、下記の動作環境や注意事項を十分にご確認ください。

ご購入前に必ずご確認ください：動作環境と設定

本プラグインは、インストール後に設定ファイルの編集（初期設定）が必要です。

具体的には、app/config/eccube/packages/security.yamlに1行を追加する作業が発生します。この作業には、FTP・SSH・ファイルマネージャー等でサーバー上のファイルを直接編集できる環境が必要です。

事前にご確認いただきたいこと

1. サーバー上のファイルをFTP等で直接編集できる状態にありますか？
   • レンタルサーバーのファイルマネージャーやFTPクライアントなどで、EC-CUBEの設定ファイルを編集できることをご確認ください。
2. 以下に該当する方は、ご購入前にお問い合わせください（無償サポート）
   • ファイルの編集は可能だが、作業に不安がある方
   • `security.yaml` の `user_checker` の項目がすでに設定されている（他のプラグイン等で使用中の）場合

上記に該当する場合、お客様の環境で導入が可能かどうかの確認や、初期設定の導入サポートを無償で対応させていただきます。お気軽にお問い合わせください。

※ サポートの際、ご購入の確認として、プラグインの購入日時・導入サイトURL・会社名等をお伺いする場合がございます。あらかじめご了承ください。

【EC-CUBE】アカウントロック機能プラグイン
https://www.ec-cube.net/products/detail.php?product_id=3402 (4.3系)

ご不明な点は以下よりお問い合わせくださいませ。

アップデート情報

2026.05.14
【EC-CUBE】アカウントロック機能プラグイン をリリースしました。