運用サポート(平日10:00~17:00) 06-6485-6485

【2021年4月26日 仕様変更】注文手続きを行う画面などで、
外部JavaScriptファイルが無効になります

仕様変更を2021年4月26日に実施しました

Webスキミング事案のリスクを考慮し、セキュリティ対策機能強化を、当初予定しておりました8月24日から変更しました。

お客様情報を守るための仕様変更となります

Webスキミングという攻撃手法があります。
JavaScriptファイルに細工するなどして、ECサイトで入力または表示される個人情報、クレジットカード情報、パスワードなどを不正に取得する攻撃手法です。
特に、外部サーバ(※1)に配置したJavaScriptファイルが攻撃対象となりやすく、FTPサーバのID・パスワード漏えいを目的としたGumblar(ガンブラー)ウィルスと組み合わせた攻撃や、パスワードの使いまわしに起因するFTPサーバへの不正アクセスが懸念されます。
また、WordPress等の脆弱性を利用したサーバへの侵入、ファイルの改ざん被害も多く報告されております。

仕様変更内容

Webスキミングのリスクを回避するために、
futureshopでは、2021年4月26日に下記の仕様変更を行いました。

iframeタグの注文手続きを行う画面などでの読み込みを無効化します。

外部サーバに設置されたJavaScriptファイルについて、注文手続きを行う画面などでの読み込みを無効化(※2)します。

対象画面について

:仕様変更なし

:無効化の対象画面

トップ・商品グループ(カテゴリ)・商品詳細・カートの中・注文完了ページは、これまでどおりご利用可能です。
Google Analytics測定にも影響はありません。また、アフィリエイト・広告などのコンバージョン測定はこれまでどおり可能です。

※1 外部サーバとは
店舗様が自由にファイルをアップロードできるサーバすべてとなります。

  1. CMS(VPS)サーバのJavaScriptファイル
  2. itemboxサーバのJavaScriptファイル
  3. futureshop以外でご契約されているサーバのJavaScriptファイル

※2 無効化とは
外部サーバに設置されたJavaScriptファイルの読み込みや、iframeタグの記述があっても、ECサイトには表示されなくなります。(仕様変更の詳細

外部サーバからの読み込み

ご対応いただきたいこと

1. 仕様変更後の対象画面の状態をご確認ください

2021年3月2日にプレビューでご確認いただけるようになっています。
プレビューにて「デザイン確認」モードでご確認ください。
対象画面は仕様変更後の状態でご覧いただけるようになっています。
(動作確認モードは、設定変更前の状態がご確認いただけます。)

2. 仕様変更後の状態をご確認いただいた後、問題なければ即時、「Webスキミング防止機能」を「利用する」に設定してください

Webスキミング防止機能は、設定メニュー>店舗共通>ECサイトセキュリティ設定に追加されました。
1にて、設定変更後の状態で問題がなければ、安全のため、即時「Webスキミング防止機能」をご利用ください。
デザインが崩れるなど、影響がある場合は、制限内でJavaScriptを実行する方法をご確認いただき、対応をお願いいたします。

影響がある場合の対処方法
  1. 影響がある画面の、画像以外の部分で右クリックするか、Ctrl+Uキーを押下します。
    (Macの場合は、Command+Option+Uキーを押下)
  2. .js」「script」および「iframe」という文字で検索します。
    (Ctrl+Fキーを押下 ※Macの場合はCommand+Fキーを押下)
  3. 検索されたタグを記載した部分をご確認いただき、管理画面から削除してください。
    ご参考までに、よくJavaScript・iframeが記述されている管理画面の画面名を示しております。

    このほかに、ブラウザの開発者ツールを利用する方法もございますが、開発者ツールの場合、JavaScriptの実行結果を参照することになるため、設置されている記述よりも多く表示される場合があります。ご注意ください。

  4. 対象画面にてJavaScriptの実装が必要な場合は、制限事項内で対応していただくことで、現在のデザインを踏襲することも可能です。(対象画面でのJavaScript実行について

Webスキミング防止機能の詳細

iframeタグ削除

iframeタグとは、別のhtmlファイルやPHPファイルを読み込んで画面に表示するものです。
読み込まれる「外部ファイル」が改ざんされ、攻撃に利用されるリスクがありますので、個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、iframeタグを削除いたします。

※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。

iframeタグ(削除されます)
(例)
<iframe src="/iframe/sidebar.html" frameborder="0" scrolling="no"></iframe>

iframeタグ利用の確認について

対象画面をご確認ください。(確認方法はこちら)iframeタグを利用している場合は、iframeタグを利用している場合をご覧ください。

scriptタグ削除

読み込まれる「外部JavaScriptファイル」が改ざんされ、攻撃に利用されるリスクがありますので、個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、外部ファイル読み込み用のscriptタグを削除いたします。

※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。

なお、futureshopシステムで出力するJavaScriptファイルは削除されません。ECサイトの機能を実現するためであり、また、弊社にて安全に管理しております。

外部ファイル読み込みscriptタグ(削除されます)

scriptタグにて、サーバに配置したJavaScriptファイルを読み込み、ファイルに記載されたスクリプトを実行するものです。削除対象となります。

(例)
<script src="/js/jquery-2.2.4.min.js"></script>
<script src="https://example.com/js/samplescript.js"></script>
インラインスクリプト(削除されません)

scriptタグの中にJavaScriptが記載されているものです。

(例)
<script>
  // ここにJavaScriptプログラムが記載される
</script>
仕様変更後のインラインスクリプト(一部動作しません)

個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、インラインスクリプトからの外部ファイル読み込みは不可となります。

※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。

(仕様変更後に不可となる例)
<script>
(function(w, a, i, o) {
  if (w[i] === o) return;
  w[i] = o;
  var b = a.createElement("script");
  b.type = "text/javascript";
  b.async = !0;
  b.src = "https://example.com/js/samplescript.js";
// 外部スクリプト読み込み用のscriptタグを生成する内容ですが、外部スクリプトは読み込みできません
  a = a.getElementsByTagName("script")[0];
  a.parentNode.insertBefore(b, a)
  })(window, document, 'sampleId', 'sampleAccount');
</script>

連携システムでのJavaScript利用について

個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、連携システム(広告・トラッキング・MAなど)のJavaScriptについても、同様に削除されます。

※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。

scriptタグ・iframeタグ削除設定を「利用する」にチェックしてご確認ください。測定タグ設定(コマースクリエイター)の共通設定に記載されている場合も、出力されません。

JavaScript利用の確認について

対象画面をご確認ください。(確認方法はこちら)JavaScript記述がある場合は、JavaScriptを利用している場合をご覧ください。

測定タグの確認について

プレビュー確認する場合のご注意

プレビューでは、測定タグに設置したJavaScriptは出力されません。

※ECサイト構築時に、誤って測定されないよう、上記の仕様となっています。

主な測定タグについて

ご注文完了・お申し込み完了・会員登録完了・メールマガジン申込完了などはWebスキミング防止設定の対象外となります。

対象画面をご確認ください。

サービス名 Webスキミング防止設定の影響
拡張eコマース ご利用に問題ありません。
futureCartRecovery ショッピングカートと注文完了に設置しますので、ご利用に問題はありません。
Google広告 動的リマーケティング ショッピングカートと注文完了に設置しますので、ご利用に問題はありません。
Google広告 コンバージョン トラッキング 注文完了に設置しますので、ご利用に問題はありません。
Google Tag Manager 対象画面では動作いたしません。
Yahoo!タグマネージャー 対象画面では動作いたしません。

測定タグ以外のJavaScriptについて

ご利用いただけるサービスについて

ご利用にあたってJavaScriptが必要なサービスについて、以下がご利用いただけます。

サービス名 Webスキミング防止設定の影響
FONTPLUS ご利用に問題はありません。
TypeSquare ご利用に問題はありません。
Adobe Fonts ご利用に問題はありません。

対象画面でのJavaScript実行について

対象画面で、どうしてもJavaScriptの実行が必要な場合、以下の制限付きとなりますが、ご利用いただけます。

制限事項

  • 外部ファイルの読み込みスクリプトは利用できません。
  • インラインスクリプトは実行可能ですが、仕様変更後は、インラインスクリプトからの外部ファイル読み込みが禁止されます。
  • 外部CDN(Google Hosted LibrariescdnjsjsDelivrjQuery の4サイト)からのスクリプト読み込みは、仕様変更後も可能です。
  • 外部CDNの利用方法は、外部CDNのご紹介をご覧ください。
  • 以下から始まるURLは許可されます。
    • https://ajax.googleapis.com/
    • http://ajax.googleapis.com/
    • https://cdnjs.cloudflare.com/
    • https://cdn.jsdelivr.net/
    • //code.jquery.com/

管理画面の画面・入力項目

よくJavaScript・iframeが記述されている管理画面の画面および項目名です。

カテゴリ 画面名
Google Analytics関連 プロモーション管理>拡張eコマース設定
測定タグ プロモーション管理>測定タグ-共通出力
プロモーション管理>測定タグ-共通出力以外
デザイン コマースクリエイター>パーツ>フリーパーツ・箇条書きパーツ・コラムパーツ
コマースクリエイター>メッセージ
コメント ポイント>ポイント基本設定
レコメンド>レコメンド2設定
商品管理 商品管理>商品コメント設定
商品管理>レコメンド2設定

対象画面

対象画面(コマースクリエイターご利用の場合)

  • お客様情報入力
  • ご注文手続き
  • お届け先一覧・商品数量指定・商品数量情報更新・配送・包装方法選択(複数お届け)
  • お申込み手続き
  • 会員登録・会員登録認証・会員カード認証
  • パスワードをお忘れの方・新しいパスワードの登録
  • ログイン(マイページログイン・お気に入りログイン・ショッピングカートログイン・LINEログイン・クーポンログイン・レビューログイン)
  • 注文履歴詳細(マイページ)
  • 定期・頒布会申込履歴詳細(マイページ)
  • クレジットカード(マイページ)
  • お届け先リスト・お届け先登録・お届け先変更(マイページ)
  • 会員情報詳細・会員登録内容変更・パスワード変更(マイページ)
  • ポイントおまとめ(マイページ)
  • 退会手続き(マイページ)

ご注文完了・お申し込み完了・会員登録完了・メールマガジン申込完了などは対象外となります。

対象画面の詳細(URL等)

仕様変更スケジュール

仕様変更は以下の2段階で行われます。

2021年3月2日

scriptタグ・iframeタグ削除設定をリリースいたしました。

  • プレビューで、ECサイトをご確認いただいた上で、問題なければ「利用する」設定にしてください。
  • これ以降の新規店舗は「利用する」を初期値にさせていただきます。

2021年4月26日

  • 対象画面では、iframeタグ・外部ファイル読み込みscriptタグを削除します。
  • インラインスクリプトを含めて、外部ファイル読み込みを全面的に禁止します。

自社ECサイト運営のためのセキュリティ対策勉強会

お客様ご自身で、ECサイトのセキュリティをチェックする具体的な方法をお伝えいたします。

セキュリティ対策勉強会

Q&A

各種測定・アクセス解析・コンバージョン測定等について

  • Google Analyticsの収益(eコマース測定、または拡張eコマース測定)に影響ありますか?

    これまでどおり計測可能です。影響はありません。
  • アフィリエイト・広告などのコンバージョン測定はできますか?

    はい。これまでどおり計測は可能です。注文完了・申込完了(定期・頒布会)・会員登録完了・メールマガジン申し込み完了画面は、JavaScriptによる測定ができます。
  • Google Analyticsのアクセス解析はできますか?

    これまでどおり計測可能です。

Webスキミング防止機能について

  • Webスキミング防止機能は、全店舗一斉ですか?当社だけ除外していただくことはできますか?

    futureshop全店舗でのセキュリティ向上施策となりますので、個別の店舗の除外はいたしかねます。お買い物をされるお客様の情報を守るためとなりますので、何卒ご理解ください。
  • 商品ページや商品カテゴリページでは、JavaScript・iframeを利用して問題ないですよね。

    はい。問題ございません。
  • futureshop管理画面のコマースクリエイター>アイテムからアップロードしたJavaScriptファイル、iframe表示用ファイルは、読み込みできますか?

    いいえ。コマースクリエイター>アイテムからアップロードすると、itemサーバ(アイテムボックス)に配置されます。itemサーバ(アイテムボックス)はFTP経由でアップロード可能な外部サーバですので、読み込みできません。
  • ワードプレスで運用しているブログページも対象ですか?

    いいえ。futureshopシステムで出力しているページのうち、個人情報・決済情報・パスワードなど重要情報が記載される画面のみです。CMS(VPS)サーバオプションで、店舗様が独自に運営されているWord PressなどのCMSで稼働しているブログなどは、今回の対象外となります。
  • JavaScriptからJSONデータを読み込んでいますが、こちらはどうなりますでしょうか?
    JSONデータは、Word Pressの記事データや、外部連携サービスから出力されたデータです。

    対象画面(個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面)ではJavaScriptを利用しないでください。対象画面では、そうしたデータの読み込みを行うこと自体を見直していただけますようお願いします。

JavaScript・iframeの確認について

  • 確認はフューチャーショップに依頼できますか?

    ECサイトの管理は店舗様となりますので、確認作業をお願いいたします。確認方法がお分かりにならない場合は、こちらのセミナーへご参加をご検討いただけますでしょうか。
  • JavaScriptを利用していますが、自動的に削除されても問題なければ、そのまま設置していてもいいですか?

    はい。設置されていても問題ございません。ECサイトの安全のために、削除のご対応をしていただいたほうがより安全と思われます。
  • これまでフューチャーショップサポートから連絡してもらった方法で記述していても、削除対象になりますか?

    はい。個人情報・決済情報・パスワードなど重要情報が記載される画面に記載されている場合は、対象になる場合がございます。

更新履歴

  • Google Analyticsを全画面で測定可能となるよう、変更いたしました。

  • セキュリティ対策機能強化を、当初予定しておりました8月24日から、4月26日に変更いたしました。

  • Webフォント(fontplus, TypeSquare, Adobe Fonts)が利用可能となるよう、変更いたしました。

その他、ご不明点などがございましたら、お気軽にフューチャーショップサポートまでお問い合わせください。

フューチャーショップサポート
06-6485-6485 受付時間:平日 10:00~17:00
メールでのお問い合わせはこちら

お問い合わせ

オンラインでのご相談はこちら