ITMediaなどで取り上げられていますが、Magentoを標的としたマルウェアが流行しているようです。
Magento公式サイトのブログでもアナウンスがされていますが、このマルウェアがターゲットにしている脆弱性は、新たに発見されたものではありません。

狙われる脆弱性とは

話題になっているマルウェアは、今年2月に公開されたセキュリティパッチ「SUPEE-5344」で既に修正されているものです。
弊社でも「」でお知らせしていますし、攻撃の実例を紹介する動画も「」で紹介しています。

つまり全く目新しい脆弱性ではありません。
適切にリリースされているセキュリティパッチやWebサーバーの設定を行っている限りにおいては、Magentoの安全性は保たれています。

もちろん、サードパーティ製エクステンションのセキュリティアップデートを適用することも必要です。とくに無償のエクステンションの場合はメンテナンスが作者によってなされないケースもあるため、注意が必要です。

対策方法

特別な対策は実はありません。
以下の対策を常に行っていくことで、サイトの安全性を維持することができます。

  • Magento公式から配布されているセキュリティパッチを適用し続ける
  • 適切なタイミングでMagentoをアップデートする
  • サードパーティ製エクステンションの更新に追従する(予算と相談ですが)
  • ApacheやNginx、PHPのバージョンを最新に保つ
  • パッチの適用情報をチェックするサービス「MageReport」を使う

より安全性を高めるには

セキュリティパッチは脆弱性の報告があってからのリリースになります。
基本的に事後の対応になりがちなので、定期的にセキュリティ診断を行うことや、侵入検知・改竄検知システムを導入することも検討に値するでしょう。
予算があるのであれば、Webアプリケーションファイアウォールを導入してもよいかもしれません。