運用サポート(平日10:00~17:00) 06-6485-6485

【2021年4月26日 仕様変更】注文手続きを行う画面などで、
外部JavaScriptファイルが無効になります

仕様変更を2021年4月26日に実施しました

Webスキミング事案のリスクを考慮し、セキュリティ対策機能強化を、当初予定しておりました8月24日から変更しました。

お客様情報を守るための仕様変更となります

Webスキミングという攻撃手法があります。
JavaScriptファイルに細工するなどして、ECサイトで入力または表示される個人情報、クレジットカード情報、パスワードなどを不正に取得する攻撃手法です。
特に、外部サーバ(※1)に配置したJavaScriptファイルが攻撃対象となりやすく、FTPサーバのID・パスワード漏えいを目的としたGumblar(ガンブラー)ウィルスと組み合わせた攻撃や、パスワードの使いまわしに起因するFTPサーバへの不正アクセスが懸念されます。
また、WordPress等の脆弱性を利用したサーバへの侵入、ファイルの改ざん被害も多く報告されております。

仕様変更内容

Webスキミングのリスクを回避するために、
futureshopでは、2021年4月26日に下記の仕様変更を行いました。

iframeタグの注文手続きを行う画面などでの読み込みを無効化します。

外部サーバに設置されたJavaScriptファイルについて、注文手続きを行う画面などでの読み込みを無効化(※2)します。

対象画面について

:仕様変更なし

:無効化の対象画面

トップ・商品グループ(カテゴリ)・商品詳細・カートの中・注文完了ページは、これまでどおりご利用可能です。
Google Analytics測定にも影響はありません。また、アフィリエイト・広告などのコンバージョン測定はこれまでどおり可能です。

※1 外部サーバとは
店舗様が自由にファイルをアップロードできるサーバすべてとなります。

  1. webコンテンツサーバ内のJavaScriptファイル
  2. CMS(VPS)サーバのJavaScriptファイル
  3. futureshop以外でご契約されているサーバのJavaScriptファイル

※2 無効化とは
外部サーバに設置されたJavaScriptファイルの読み込みや、iframeタグの記述があっても、ECサイトには表示されなくなります。(仕様変更の詳細

外部サーバからの読み込み

ご対応いただきたいこと

1. 仕様変更後の対象画面の状態をご確認ください

2021年3月2日にプレビューでご確認いただけるようになっています。
構築メニュー>デザイン設定にて、ご利用中のデザインから「プレビュー」でご確認ください。
プレビューではscript・iframeタグ削除機能が常に有効になっています。
対象画面は仕様変更後の状態でご覧いただけるようになっています。

2. 仕様変更後の状態をご確認いただいた後、問題なければ即時、「Webスキミング防止設定」を「script・iframeタグ削除機能を有効にする」に設定してください

Webスキミング防止設定は、管理TOP>初期表示設定>店舗に追加されました。
1にて、設定変更後の状態で問題がなければ、安全のため、即時「Webスキミング防止機能」をご利用ください。
デザインが崩れるなど、影響がある場合は、制限内でJavaScriptを実行する方法をご確認いただき、対応をお願いいたします。

影響がある場合の対処方法
  1. 影響がある画面の、画像以外の部分で右クリックするか、Ctrl+Uキーを押下します。
    (Macの場合は、Command+Option+Uキーを押下)
  2. .js」「script」および「iframe」という文字で検索します。
    (Ctrl+Fキーを押下 ※Macの場合はCommand+Fキーを押下)
  3. 検索されたタグを記載した部分をご確認いただき、管理画面から削除してください。
    ご参考までに、よくJavaScript・iframeが記述されている管理画面の画面名を示しております。

    このほかに、ブラウザの開発者ツールを利用する方法もございますが、開発者ツールの場合、JavaScriptの実行結果を参照することになるため、設置されている記述よりも多く表示される場合があります。ご注意ください。

  4. 対象画面にてJavaScriptの実装が必要な場合は、制限事項内で対応していただくことで、現在のデザインを踏襲することも可能です。(対象画面でのJavaScript実行について

Webスキミング防止機能の詳細

iframeタグ削除

iframeタグとは、別のhtmlファイルやPHPファイルを読み込んで画面に表示するものです。
読み込まれる「外部ファイル」が改ざんされ、攻撃に利用されるリスクがありますので、個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、iframeタグを削除いたします。

※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。

iframeタグ(削除されます)
(例)
<iframe src="/iframe/sidebar.html" frameborder="0" scrolling="no"></iframe>

iframeタグ利用の確認について

対象画面をご確認ください。(確認方法はこちら)iframeタグを利用している場合は、iframeタグを利用している場合をご覧ください。

scriptタグ削除

読み込まれる「外部JavaScriptファイル」が改ざんされ、攻撃に利用されるリスクがありますので、個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、外部ファイル読み込み用のscriptタグを削除いたします。

※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。

なお、futureshopシステムで出力するJavaScriptファイルは削除されません。ECサイトの機能を実現するためであり、また、弊社にて安全に管理しております。

外部ファイル読み込みscriptタグ(削除されます)

scriptタグにて、サーバに配置したJavaScriptファイルを読み込み、ファイルに記載されたスクリプトを実行するものです。削除対象となります。

(例)
<script src="/js/jquery-2.2.4.min.js"></script>
<script src="https://example.com/js/samplescript.js"></script>
インラインスクリプト(削除されません)

scriptタグの中にJavaScriptが記載されているものです。

(例)
<script>
  // ここにJavaScriptプログラムが記載される
</script>
仕様変更後のインラインスクリプト(一部動作しません)

個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、インラインスクリプトからの外部ファイル読み込みは不可となります。

※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。

(仕様変更後に不可となる例)
<script>
(function(w, a, i, o) {
  if (w[i] === o) return;
  w[i] = o;
  var b = a.createElement("script");
  b.type = "text/javascript";
  b.async = !0;
  b.src = "https://example.com/js/samplescript.js";
// 外部スクリプト読み込み用のscriptタグを生成する内容ですが、外部スクリプトは読み込みできません
  a = a.getElementsByTagName("script")[0];
  a.parentNode.insertBefore(b, a)
  })(window, document, 'sampleId', 'sampleAccount');
</script>

連携システムでのJavaScript利用について

個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面では、連携システム(広告・トラッキング・MAなど)のJavaScriptについても、同様に削除されます。

※商品ページ、商品カテゴリページ、トップページなどでは、そのまま利用できます。

Webスキミング防止設定を「script・iframeタグ削除機能を有効にする」にチェックしてご確認ください。任意測定タグ設定(以前からの構築機能)の共通設定に記載されている場合も、出力されません。

JavaScript利用の確認について

対象画面をご確認ください。(確認方法はこちら)JavaScript記述がある場合は、JavaScriptを利用している場合をご覧ください。

測定タグの確認について

プレビュー確認する場合のご注意

プレビューでは、測定タグに設置したJavaScriptは出力されません。

※ECサイト構築時に、誤って測定されないよう、上記の仕様となっています。

主な測定タグについて

ご注文完了・お申込完了・会員登録完了・メルマガ申込完了などはWebスキミング防止設定の対象外となります。

対象画面をご確認ください。

サービス名 Webスキミング防止設定の影響
Google Analytics
eコマース
ご利用に問題ありません。
futureCartRecovery ショッピングカートと注文完了に設置しますので、ご利用に問題はありません。
Google広告 動的リマーケティング ショッピングカートと注文完了に設置しますので、ご利用に問題はありません。
Google広告 コンバージョン トラッキング 注文完了に設置しますので、ご利用に問題はありません。
Google Tag Manager 対象画面では動作いたしません。
Yahoo!タグマネージャー 対象画面では動作いたしません。

測定タグ以外のJavaScriptについて

ご利用いただけるサービスについて

ご利用にあたってJavaScriptが必要なサービスについて、以下がご利用いただけます。

サービス名 Webスキミング防止設定の影響
FONTPLUS ご利用に問題はありません。
TypeSquare ご利用に問題はありません。
Adobe Fonts ご利用に問題はありません。

対象画面でのJavaScript実行について

対象画面で、どうしてもJavaScriptの実行が必要な場合、以下の制限付きとなりますが、ご利用いただけます。

制限事項

  • 外部ファイルの読み込みスクリプトは利用できません。
  • インラインスクリプトは実行可能ですが、仕様変更後は、インラインスクリプトからの外部ファイル読み込みが禁止されます。
  • 外部CDN(Google Hosted LibrariescdnjsjsDelivrjQuery の4サイト)からのスクリプト読み込みは、仕様変更後も可能です。
  • 外部CDNの利用方法は、外部CDNのご紹介をご覧ください。
  • 以下から始まるURLは許可されます。
    • https://ajax.googleapis.com/
    • http://ajax.googleapis.com/
    • https://cdnjs.cloudflare.com/
    • https://cdn.jsdelivr.net/
    • //code.jquery.com/

管理画面の画面・入力項目

よくJavaScript・iframeが記述されている管理画面の画面および項目名です。

カテゴリ 画面名 削除対象
Google Analytics関連 Google設定>サイトアクティビティトラッキング 削除対象
※Googlle Analyticsは削除対象外
測定タグ プロモーション管理>任意測定タグ-共通出力 削除対象
プロモーション管理>任意測定タグ-共通出力以外 削除対象外
(対象画面に出力されません)
プロモーション管理>任意アフィリエイト
プロモーション管理>広告測定設定
削除対象外
(対象画面に出力されません)
デザイン デザイン設定>レイアウト編集
デザイン設定>コメントパターン設定
デザイン設定>オリジナルCSS/JavaScript編集-オリジナルJavaScript1・2
ページ設定>スマートフォン各ページ設定
ページ設定>コメントパターン一覧
削除対象
コメント 各種設定項目のHTMLタグ可コメント 削除対象
商品管理 商品管理>商品基本情報編集-商品説明・いいね/ツイートボタン設定 削除対象外
(対象画面に出力されません)

対象画面

対象画面(コマースクリエイター未利用の場合)

  • お客様情報入力~ご注文確認(通常販売)
  • お客様情報入力~お申込確認(定期・頒布会)
  • ご注文手続き(Amazon Pay)※変更画面含む
  • 会員登録・会員登録確認
  • パスワードをお忘れの場合・パスワードをお忘れの方
  • ログイン画面(マイページログイン・お気に入りログイン・ショッピングカートログイン・LINEログイン・クーポンログイン・レビューログイン・購入後ログイン※Apple Pay)
  • 注文履歴詳細(マイページ)
  • 定期・頒布会購入履歴詳細(マイページ)
  • 会員登録詳細・登録内容変更・登録内容変更確認・登録解除確認(マイページ)
  • パスワード変更(マイページ)
  • アドレス帳・アドレス帳新規登録・アドレス帳の変更・アドレス帳の削除(マイページ)
  • ポイントおまとめ(マイページ)

ご注文完了・お申込完了・会員登録完了・メルマガ申込完了などは対象外となります。

対象画面の詳細(URL等)

仕様変更スケジュール

仕様変更は以下の2段階で行われます。

2021年3月2日

Webスキミング防止設定をリリースいたしました。

  • Webスキミング防止設定を「script・iframeタグ削除機能を有効にする」にしていただき、ECサイトをご確認いただき、問題なければ「有効にする」設定にしてください。
  • これ以降の新規店舗は「script・iframeタグ削除機能を有効にする」を初期値にさせていただきます。

2021年4月26日

  • 対象画面では、iframeタグ・外部ファイル読み込みscriptタグを削除します。
  • インラインスクリプトを含めて、外部ファイル読み込みを全面的に禁止します。

自社ECサイト運営のためのセキュリティ対策勉強会

お客様ご自身で、ECサイトのセキュリティをチェックする具体的な方法をお伝えいたします。

セキュリティ対策勉強会

Q&A

各種測定・アクセス解析・コンバージョン測定等について

  • Google Analyticsの収益(eコマース測定、または拡張eコマース測定)に影響ありますか?

    これまでどおり計測可能です。影響はありません。
  • アフィリエイト・広告などのコンバージョン測定はできますか?

    はい。これまでどおり計測は可能です。注文完了・申込完了(定期・頒布会)・会員登録完了・メールマガジン申し込み完了画面は、JavaScriptによる測定ができます。
  • Google Analyticsのアクセス解析はできますか?

    これまでどおり計測可能です。

Webスキミング防止機能について

  • Webスキミング防止機能は、全店舗一斉ですか?当社だけ除外していただくことはできますか?

    futureshop全店舗でのセキュリティ向上施策となりますので、個別の店舗の除外はいたしかねます。お買い物をされるお客様の情報を守るためとなりますので、何卒ご理解ください。
  • 商品ページや商品カテゴリページでは、JavaScript・iframeを利用して問題ないですよね。

    はい。問題ございません。
  • ワードプレスで運用しているブログページも対象ですか?

    いいえ。futureshopシステムで出力しているページのうち、個人情報・決済情報・パスワードなど重要情報が記載される画面のみです。CMS(VPS)サーバオプションで、店舗様が独自に運営されているWord PressなどのCMSで稼働しているブログなどは、今回の対象外となります。
  • JavaScriptからJSONデータを読み込んでいますが、こちらはどうなりますでしょうか?
    JSONデータは、Word Pressの記事データや、外部連携サービスから出力されたデータです。

    対象画面(個人情報・クレジットカード情報・パスワードなどの重要情報が入力または表示される画面)ではJavaScriptを利用しないでください。対象画面では、そうしたデータの読み込みを行うこと自体を見直していただけますようお願いします。

JavaScript・iframeの確認について

  • 確認はフューチャーショップに依頼できますか?

    ECサイトの管理は店舗様となりますので、確認作業をお願いいたします。確認方法がお分かりにならない場合は、こちらのセミナーへご参加をご検討いただけますでしょうか。
  • JavaScriptを利用していますが、自動的に削除されても問題なければ、そのまま設置していてもいいですか?

    はい。設置されていても問題ございません。ECサイトの安全のために、削除のご対応をしていただいたほうがより安全と思われます。
  • これまでフューチャーショップサポートから連絡してもらった方法で記述していても、削除対象になりますか?

    はい。個人情報・決済情報・パスワードなど重要情報が記載される画面に記載されている場合は、対象になる場合がございます。

更新履歴

  • Google Analyticsを全画面で測定可能となるよう、変更いたしました。

  • セキュリティ対策機能強化を、当初予定しておりました8月24日から、4月26日に変更いたしました。

  • Webフォント(fontplus, TypeSquare, Adobe Fonts)が利用可能となるよう、変更いたしました。

その他、ご不明点などがございましたら、お気軽にフューチャーショップサポートまでお問い合わせください。

フューチャーショップサポート
06-6485-6485 受付時間:平日 10:00~17:00
メールでのお問い合わせはこちら

お問い合わせ

オンラインでのご相談はこちら