クマひよ工房

SSH攻撃キャンペーンがECサイトに与える深刻な影響

by

クマひよ工房
in

2025年4月29日に大規模なSSH攻撃が世界各地で観測されました。
その攻撃手法は、EC-CUBEを運用するECサイトにも大きな被害をもたらす可能性があり、本記事では、この攻撃の詳細とEC-CUBE運用環境への具体的な影響、そして実施した方が良い対策についてお伝えします。

ハニーポットが捉えた現実の脅威

ハニーポットとは、悪意のある攻撃者にサーバを攻撃をさせるためにあえて用意された囮用のサーバです。ハニーポットが実際に攻撃を受けることで、具体的な攻撃手法が明らかになりました。

  • 世界各地の数十のIPアドレスから同一パターンの攻撃を確認
  • 南米、アジア、ヨーロッパにまたがる組織的なボットネット攻撃
  • 高度に自動化された攻撃ツールの使用

EC-CUBE環境への深刻な影響

1. 顧客データの大量流出リスク

EC-CUBEには以下の機密情報が保存されています

  • 顧客の個人情報(氏名、住所、電話番号、メールアドレス)
  • クレジットカード情報
  • 購入履歴と行動データ
  • 管理者アカウント情報

攻撃者がSSHアクセスを獲得すると、これらすべての情報が窃取される危険性があります。

2. ECサイトの改竄とマルウェア配布拠点化

攻撃者は以下の手法でECサイトを悪用する可能性があります

Webスキミング攻撃の実装

// 決済ページに不正なJavaScriptを挿入
// クレジットカード情報を攻撃者のサーバーに送信
document.addEventListener('submit', function(e) {
    if(e.target.id === 'credit-form') {
        // 機密情報を外部に送信するコード
    }
});

フィッシングサイトへの誘導

  • 正規のEC-CUBEサイトに偽の決済ページを埋め込み
  • 顧客を攻撃者が管理するフィッシングサイトに誘導
  • ブランドの信頼性を悪用した詐欺行為

3. 業務継続性への致命的な影響

  • 攻撃者による意図的なサービス停止
  • ランサムウェアによるデータ暗号化
  • 個人情報保護法違反による行政処分
  • PCI DSS違反による決済代行会社からの契約解除
  • 顧客からの集団訴訟リスク

4. 観測された攻撃手法の詳細分析

侵入:弱いSSH認証の悪用

攻撃者は以下のような簡単なパスワードで侵入に成功していました

  • ユーザー名:root
  • パスワード:abcd123456!

持続化メカニズム:発見困難なバックドア

攻撃者は15秒以内に以下の持続化メカニズムを設置し、継続して攻撃サーバにアクセスできるようにします。

1. SSH公開鍵バックドア

mkdir -p ~/.ssh
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCqHrvnL6l7rT..." > ~/.ssh/authorized_keys
chattr +ai ~/.ssh/authorized_keys  # ファイルを変更不可能に設定

2. EC-CUBE固有の攻撃対象

  • EC-CUBEのアプリケーションファイルを改竄
  • データベース接続情報の窃取
  • 管理画面へのバックドア設置など

多様なアーキテクチャへの対応

攻撃者は以下のアーキテクチャ向けマルウェアを準備していて、EC-CUBEを運用するあらゆる環境が攻撃対象となります。

  • ARM7/ARM8(IoTデバイス、小型サーバー)
  • i686(32bit x86システム)
  • x86_64(64bit サーバー)

対策

1. SSH認証の即座強化

パスワード認証の無効化

# /etc/ssh/sshd_config の設定
PasswordAuthentication no
PubkeyAuthentication yes
PermitRootLogin no

強力なパスワードポリシーの実装

  • 最低14文字以上
  • 英数字+記号の組み合わせ
  • 定期的な変更(90日以内)

2. ネットワークセキュリティの強化

SSH接続元IPの制限

# iptablesでSSH接続元を制限
iptables -A INPUT -p tcp --dport 22 -s [信頼できるIPアドレス] -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

VPNを経由したアクセスの強制

  • 管理者アクセスは必ずVPN経由に限定
  • 公衆インターネットからの直接SSH接続を禁止

3. EC-CUBE固有のセキュリティ対策

ファイル整合性監視

# 重要ファイルの監視設定例
/var/www/html/eccube/src/
/var/www/html/eccube/app/config/

データベースアクセス権限の最小化

  • EC-CUBEアプリケーション専用のDBユーザーを作成
  • 必要最小限の権限のみ付与
  • 定期的なアクセスログの確認

4. 監視・検知システムの導入

  • SSH認証ログの異常検知
  • authorized_keysファイルの変更監視
  • 異常な外部通信の検出

authorized_keysファイルが変更されてしまった場合は、以下の記事に復旧方法を記載していますので、ご参考ください。
https://kumahiyo.com/ec-cube-ssh-authorized-keys/

最後に

EC-CUBEを狙った攻撃は単なる想像上の脅威ではなく、現実に進行中の深刻な問題です。この攻撃キャンペーンは…

  • 高度に自動化されており、人的な介入なしに大規模な攻撃を実行
  • 世界規模で発生している
  • あらゆるEC-CUBE運用環境が標的となる可能性があります

EC-CUBEを運用する事業者は、最低限のセキュリティ対策を実施していただくことを強く推奨します。それがお客様の大切な個人情報を守り、事業の継続性を確保することに繋がります。