News

お知らせ

リリーススケジュール通り、Adobe Commerce / Magento Open Sourceのセキュリティリリースが行われました。今回のリリースは2025年では最初のリリースです。次回は4月の予定で、2.4.4系については次回が最終リリースとなる予定です。では、早速詳細を確認していくことにしましょう。対象となるバージョン2025年2月現在、Adobe Commerce / Magento Open Sourceのサポート対象となっているバージョン系統は、 2.4.7 2.4.6 2.4.5 2.4.4 となっています。以前のリリースではAdobe Commerceに対する延長サポートとして、2.4.3以前のバージョンに対する記述が含まれていたこともありますが、前回辺りから消えています。そのため、今回のアップデートの対象バージョンは以下の通りです。 2.4.7-p3以前の2.4.7系 2.4.6-p8以前の2.4.6系 2.4.5-p10以前の2.4.5系 2.4.4-p11以前の2.4.4系 また、Adobe Commerce B2Bにおいては、 1.5.0以前 1.4.2-p3以前 1.3.5-p8以前 1.3.4-p10以前 1.3.3-p11以前 が明確に対象であると示されています。アップデートの内容Adobe Security Bulletinによると、今回のアップデートでは30件の脆弱性が修正されているようです。このうち Criticalが13件 Importantが14件 Moderateが3件 となっています。 このうち、 認証と管理者権限が不要な脆弱性が1件 Adobe Commerce B2Bが対象となるCriticalが8件 あります。前者の脆弱性を修正するための緊急パッチが別途リリースされています。こちらについては後述します。脆弱性の概要今回のアップデートで、対象のバージョンに共通して修正された脆弱性としては、 Security feature bypass Privilege escalation Arbitrary code execution Arbitrary file system read の4種類となっています。 これらの脆弱性については、Adobe Security Bulletinは Note: Authentication required to exploit: The vulnerability is (or is not) exploitable without credentials. Exploit requires admin privileges: The vulnerability is (or is not) only exploitable by an attacker with administrative privileges. としています。脆弱性ごとにレベル感が異なりますが、脆弱性の発現に際して 認証情報 管理者権限 のいずれかまたは両方が必要なものが大半を占めています。（管理者権限が必要なものがほとんどです）なお、CVE-2025-24434 のみがどちらも必要としていない点に注意が必要です。今回のリリースの緊急性についてAdobe Security Bulletinでは、緊急度を次の3段階に分けて示しています。 緊急度1・・・最上位の緊急度。72時間以内に対処が必要。 緊急度2・・・中位の緊急度。30日以内の対処を推奨。 緊急度3・・・低位の緊急度。直ちに問題が起きることは考えにくいため、管理者の判断での適用が可能。 今回のリリースについては、 Adobe Commerce B2B・・・緊急度2 Adobe Commerce・・・緊急度1 Magento Open Source・・・緊急度1 となっています。2024年6月のアップデート後に問題となった、CosmicStingと同レベルの脆弱性が今回のリリースでは修正されているため、早急なアップデートまたはセキュリティパッチ適用が必要です。緊急パッチ同時リリース今回のアップデートに付随する形で、緊急パッチがリリースされています。このパッチは CVE-2025-24434 を修正することが目的で、今回のセキュリティアップデート対象のAdobe Commerce とMagento Open Sourceに共通するパッチとなっています。セキュリティアップデートの適用に時間を要する環境であっても、最低限このパッチだけは適用されることを強くおすすめします。 なお、この緊急パッチは主に顧客作成APIと非同期APIにおける問題を修正するもので、対象ファイルは10個程度です。今回のアップデートに伴う仕様変更リリースノート（リンク先は2.4.7ですが、2.4.6以前にも同じ内容が書かれています）によると、今回のアップデートに伴い、 暗号化キーの更新機能の改良（CosmicSting関連と推測） が含まれています。何故かリリースノートには書かれていませんが、私が確認した範囲では追加で以下の変更が含まれているようです。（2.4.7-p3 -> 2.4.7-p4のアップデートで確認） TinyMCE7の削除とTinyMCE6へのダウングレード reCAPTCHAに関するモジュールの追加 パッチリリース済みバージョンへのアップデートの際は十分検証したほうが良いでしょう。まとめ2025年初回のAdobe Commerce / Magento Open Sourceのアップデートは、かなり影響度の高いものとなりました。CosmicStingと同様に、このアップデートも長期間未適用のまま放置してはいけないものとなっています。 次回のリリースはいよいよ2.4.8が正式版となり、2.4.4の最終リリースとなります。引き続き注視していきたいと思います。

1月22日にヒューマンアカデミー様により、「すべての事業所で必要となる「メンタルヘルスチェック」の重要性を60分で学べるセミナー」が開催され、弊社代表浅賀が登壇しましたので簡単にレポートさせていただきます。今回の対象者はタイトル通り「すべての事業所」のメンタルヘルスに関わる方、ということになるかと思います。セミナー概要本セミナーではヒューマンアカデミー株式会社種市様の司会進行のもと、弊社代表浅賀から下記のような課題についてお話しさせていただきました。 昨年10月に厚生労働省から発表されたストレスチェック全事業所義務付けの方針に関する背景と「ストレスチェックの重要性」について教えてください 企業のメンタルヘルス・マネジメントに関してどのような問い合わせが多いでしょうか？ 小規模事業者（50人未満）で問い合わせの多い課題は何でしょうか？ 課題に対してどのような取り組みを行うと良いでしょうか？ 従業員100人以上の事業所で多い課題は何でしょうか？ 「メンタルヘルス・マネジメント検定対策講座」で、特に重視したポイントは何でしょうか？ 上記の課題の中から抜粋してお伝えできればと思います。ストレスチェック全事業所義務付けの方針に関する背景は？義務化できる環境が整ってきたという点、またメンタルヘルスに関する課題を抱える労働者は増加（2023年は過去最多）する中、進まない小規模事業者の取り組み状況から、という話をわかりやすく説明され頭にするすると入っていきました。更に「リソースの少ない小規模事業者はどう取り組めば良いのか？」という問いに対して、「できるところからやる」、担当者を決めて自社で取り組んでいく、という解説に、弊社代表がこれまで課題に取り組む中で現実解を出してきた経験をふと垣間見たように感じました。その現実解の一つとして担当者、関係者、管理職の方が「メンタルヘルス・マネジメント検定対策講座」を受講することで１つの方法となることが取り上げられました。「メンタルヘルス・マネジメント検定対策講座」で重要視したポイント前回も同じタイトルでレポートさせていただいたのですが、今回は少し内容が変わります。受験対策の講座ですから合格するという目標があります。ただ、前述の通り、小規模事業者の取り組みの一つとして「メンタルヘルス・マネジメント検定対策講座」を受講された際に、「現場の実務で活かせることが重要」という視点でも本講座が活かせるように制作されたということがポイントとして紹介されました。次回のメンタルヘルス・マネジメント検定試験に関する情報「メンタルヘルス・マネジメントⓇ検定試験」次回の試験日程は、2025年3月16日（日）（申込期限は2月6日）に予定されています。今から「メンタルヘルス・マネジメント検定対策講座」を受講されてはいかがでしょうか？2月2日まで受講料10％オフのキャンペーンをされているそうなので是非この機会に！詳しくはコチラでご確認ください。

先週、メンタルヘルス・マネジメント講座リリース記念として、「企業取り組み事例セミナー」が開催されましたので簡単にレポートさせていただきます。 対象者は下記のような方向けで行いました。意外にも女性比率が高く3分の2以上が女性の参加者の方達でした。 人事・労務・総務ご担当者の方 管理職の方 自身・職場のメンタルヘルス向上・維持に関心のある方 セミナー概要本セミナーではヒューマンアカデミー株式会社種市様の司会進行・モデレータを取り行っていただき、ゲスト登壇いただいた公認心理士の佐藤由希恵様とともに、パネラーとして弊社代表浅賀から下記のような課題についてお話しさせていただきました。 「メンタルヘルス・マネジメント検定」について簡単に説明して欲しい 「メンタルヘルス・マネジメント検定対策講座」で特に重要視した点は何か？ メンタルヘルス・マネジメントを導入する企業は何から始めれば良いか？ 課題に対する具体的な取り組みは？ 問い合わせはどのようなものが多いか？ 小規模事業所で（50人未満）で多い課題感は？ などなど、割と突っ込んだ問いかけが多くあったように思います。特に先日ニュースで流れた厚生労働省からの「ストレスチェック制度全事業所義務化の方針」からでしょうか、50人以上の事業所と、50人未満の事業所とで取り組み方の差異についても質問があり、パネラーの佐藤様から実体験に基づくお話しもいただきました。 詳しく聞かれたい方は、年明け1月後半にセミナーが開催されるようですので、是非ご参加ください。日程が判明次第、弊社X（メンタルヘルスに関するTIPSを日々配信しております）でご案内予定ですので、是非フォローください！「メンタルヘルス・マネジメント検定対策講座」で特に重要視した点は何か？コンテンツ制作時のエピソードを一部ご紹介させていただきます。公式テキストで特にラインケアはページ数も多く350ページ近くあります。わかりやすくまとめるだけでも相当な量になります。そして本講座の目的の1つはもちろん、「メンタルヘルス・マネジメント検定」に合格することですが、もう1つ本質的な目的は、メンタルヘルスケアです。詳しく説明すればするほど受講者には分量が増え難しいものとなってしまう可能性がある一方で、しっかり学んで頂きたいところがありました。 具体的には「認知行動療法」についてでした。公式テキストでは図も含め1ページ半くらい記載されているのですが、少し頭に入りにくいところでした。このため「自動思考」や「認知の歪み」に関して詳しく解説を取り入れています。この解説には、執筆した浅賀を含め、公認心理師のスタッフ、私たち2名のスタッフを含めて確認しあったところです。こうした解説はしっかりと頭に記憶される一助になるのではないかと考えています。11月の試験でも実際に認知行動療法に関する設問があったのですが、設問が様々な形で変わっても、基礎的な力があればきっと解けるのではないかと感じました。 お陰様で本講座の制作に関わり、チェックを行ったMさんと私は二人ともめでたく11月の試験に一発で合格することができました（Mさんはセルフケア・ラインケアを受験し両方合格、私は60を過ぎ記憶力もそろそろ・・・という年齢でしたがラインケアを受験し合格）。本講座のEラーニングを聴講したことが効果的だったというのは2人が共通した感想でした。率直なところ二人共、350ページ近くもある公式テキストを見て「受かる気がしない・・・」と思っていたくらいでした。次回のメンタルヘルスマネジメント試験に関する情報「メンタルヘルス・マネジメントⓇ検定試験Ⅱ種（ラインケアコース）」次回の試験日程は、2025年3月16日（日）に予定されています。私自身は2ヶ月ほど前から準備をしていたので、年明けあたりから本講座の受講を開始されてはいかがでしょうか？詳しくはコチラでご確認ください。

弊社代表が講師を務める「メンタルヘルス・マネジメントⓇ検定試験Ⅱ種対策講座（ラインケアコース）」がヒューマンアカデミー株式会社様のサイトから販売開始となりました。厚生労働省よりストレスチェック制度全事業所義務化の方針先日、厚生労働省より、働く人のストレスチェックを全事業所に義務付ける方針を固めたとのニュースが流れました。これまで従業員50人未満の事業所は努力義務で、実施率は3割にとどまっておりました。このため、今後企業規模に関わらず、管理監督者の育成は急務となることが予想されます。今回あらたにラインケアEラーニング講座販売開始前回のセルフケアのEラーニング講座販売開始に引き続きラインケアに関しても、弊社代表が講師を務める「メンタルヘルス・マネジメントⓇ検定試験Ⅱ種対策講座（ラインケアコース）」が教育事業を展開するヒューマンアカデミー株式会社様のサイトから販売開始となりました。このラインケアコースは、職場の部下を管理監督する上で必要なメンタルヘルスの知識や対処方法を習得できるだけでなく、大阪商工会議所が実施する「メンタルヘルス・マネジメントⓇ検定試験Ⅱ種（ラインケアコース）」の資格取得の一助ともなるEラーニング講座となります。是非ご活用ください！ ラインケアコース販売記念セミナーヒューマンアカデミー株式会社様より、「メンタルヘルス・マネジメントⓇ検定試験対策講座（ラインケアコース）」の販売を記念し、2024年12月５日(木)に、オンラインセミナーが行われます。本講座の監修・講師を担当した弊社代表浅賀と、ゲスト登壇者によるメンタルヘルス・マネジメントを実施した事業所の成功事例や、苦労した点、本講座を受講することへのメリットと講座内容をZoomによるオンラインウェビナー形式で配信いたします。 日時：2024年12月５日（木）19:30～21:00　予定 タイトル：人事・労務・総務ご担当者の方、管理職の方必見！  　　　　　メンタルヘルス・マネジメント講座リリース記念、企業取り組み事例セミナー 実施方法：Zoomによるオンラインウェビナー 参加費：無料 参加方法：ヒューマンアカデミー様の申込フォームより必要事項をご記入の上、お申し込みください。次回のメンタルヘルスマネジメント試験に関する情報「メンタルヘルス・マネジメントⓇ検定試験Ⅱ種（ラインケアコース）」次回の試験日程は、2025年3月16日（日）に予定されています。詳しくはコチラでご確認ください。

日本時間の2024年11月13日現在、Adobe Commerce / Magento Open Sourceを対象とした、緊急セキュリティリリースが公開されています。Adobe Security Bulletinによると、このリリースは「APSB24-90」として採番されており、緊急度は3段階中の3番目（最も低いもの）とされています。（緊急度の定義はこちら）今回はこのセキュリティリリースの内容について解説していきたいと思います。APSB24-90の対象となる環境とはAPSB24-90の対象になる環境は比較的限定されています。前提になるAdobe Commerce / Magento Open Sourceのバージョンですが、以下のとおりです。 Adobe Commerce / Magento Open Source 2.4.7以降 Adobe Commerce 2.4.4以降かつ、Commerce Services Connector他をインストールしている場合 これらの環境で、以下のモジュールバージョンの場合に対象となります。 magento/services-idが3.2.5以前 通常、Magento Open Sourceでは対象のモジュールを利用することはない（2.4.7以降を除く）ので、このリリースは無視して構いません。Adobe Commerceの場合は2.4.6以前のバージョンにおいては Product Recommendations Catalog Services LiveSearch Payment Service といったAdobeが提供するコマース向けのSaaSサービスを利用していなければ対象外となります。 Adobe Commerce / Magento Open Source共通して言えることは 2.4.7以降は必ず対象になる という点です。ですから、2.4.7以降のバージョンで稼働しているサイトについては24時間以内とまでは行かないまでも、アップデートが必要となります。脆弱性の概要Adobe Security Bulletinによると、APSB24-90の脆弱性は Server Side Request Forgerie とされています。Commerce Services Connectorがやり取りするAdobe側のサービスURLを攻撃者が改ざんすることによって、意図しないコンテンツが管理画面上に表示される可能性があります。但しこの脆弱性が成立するためには、 管理者権限の奪取 認証情報が必要 であるため、適切に管理者情報の管理や管理画面に対するアクセス制限が実施できていれば直ちに問題が起きることはありません。（そのため、脅威度が3に設定されています）脆弱性の対処方法この脆弱性への対処手順は以下のとおりです。 magento/services-id を3.2.6に更新する DB更新有りのデプロイを行う キャッシュクリアを行う コードの差分を見る限りでは、サービスURLのチェック処理が追加された程度の違いしか無いため、他の機能への影響は軽微だと思われます。

「メンタルヘルス・マネジメントⓇ検定試験対策講座（セルフケアコース）」が販売開始となりました弊社代表が講師を務める「メンタルヘルス・マネジメントⓇ検定試験対策講座（セルフケアコース）」が教育事業を展開するヒューマンアカデミー株式会社様のサイトから販売開始となりました。 本講座では大阪商工会議所が実施する「メンタルヘルス・マネジメントⓇ検定試験 3種（セルフケアコース）」に対応した通信講座となります。弊社代表浅賀が講師となり、制作に携わらせていただきました。 働き続ける上で必要なメンタルヘルスの知識や対処方法を習得できるだけでなく、「メンタルヘルス・マネジメントⓇ検定試験 3種（セルフケアコース）」の資格取得の一助ともなるEラーニング講座となります。是非ご活用ください！ 詳しくはヒューマンアカデミー株式会社様のサイトにてご確認ください。

企業の人事・労務担当者向けの専門WEBサイト「労基旬報オンライン」おいて、人事図書館の運営スタッフも務める弊社代表の下記のコラム記事が掲載されました。 予期せぬ出来事に遭遇するためのキャリア理論とは 変化が大きく予測不能な現代において、資格を取得しキャリアを積んでも目指す道になかなか進めないことはままあるかと思います。一方で、ひょんな事から目指す道に入れたり、もともと目指す道ではなかったのに、仕事のご縁で新たな職種に就かれて自分の天職に気づいたり等々あったりしませんか？実はこうした出来事は、米国の心理学者クルンボルツ教授の提唱する「計画的偶発性理論（Planned Happenstance Theory）」に当てはまるものになるのですが、口を開けて待っていても容易に訪れるものではありません。ヒントとともに書籍紹介もさせていただいておりますので、是非ご覧ください。 弊社代表はキャリアサポート歴20年、アジア太平洋キャリア開発協会(APCDA)の会長も務めた経歴があります。キャリアについてご相談されたい方は、是非コチラへ！ ※「労基旬報」（1968年創刊）は企業や法人・団体の人事・労務担当者、社会保険労務士、労働組合、研究者、働き方に関心のある方に向けた専門誌となります。

リリーススケジュール通り、Adobe Commerce / Magento Open Sourceの次期バージョンである2.4.8のベータリリースが行われました。2.4.8の正式リリースは2025年4月に予定されているものですが、早めに動作検証を進めていくことがスムーズなアップデートにつながります。 この記事では2.4.8-beta1のリリースノートから重要な点をピックアップしてお伝えしたいと思います。動作環境の変更ほかのアプリケーションでも概ね同様ですが、バージョンアップの際には動作環境の見直しが行われることがあります。Adobe Commerce / Magento Open Sourceでも同様です。 PHP データベース 検索サーバー その他 の4点を紹介していきましょう。PHPまず最初はPHPです。Adobe Commerce / Magento Open SourceともにPHPで書かれたアプリケーションであるため、動作可能なPHPバージョンには常に注意を払う必要があります。2025年のロードマップの紹介でも触れましたが、動作可能なPHPバージョンについては下表のとおりとなっています。 バージョン番号 対応PHPバージョン 2.4.4 7.4 & 8.1 2.4.5 7.4 & 8.1 2.4.6 8.1 & 8.2 2.4.7 8.2 & 8.3（8.1でも一応動作可） 2.4.8 beta1 8.2 & 8.3   今回のベータリリースでは明確に「PHP8.1はサポート対象から外す」と書かれています。2.4.4および2.4.5からのアップデートは一足飛びには難しい可能性がありますので、2.4.6または2.4.7を間に挟むほうが安全と言えるでしょう。データベース続いてデータベースです。MySQLまたはMariaDBが利用できる点については変更はありません。2.4.8 beta1では、 MySQL 8.4 LTS MariaDB 11.4 LTS がサポート対象に加わりました。バージョン別動作環境の表では、2.4.7までは MySQL 8.0 MariaDB 10.6 となっていますので、サポート範囲が拡大されたことになります。検索サーバー今回のリリースで影響がありそうな点は、この検索サーバーです。Adobe Commerce / Magento Open Source 2.4系では、データベースを用いた商品検索機能は標準から外れており、 Elasticsearch OpenSearch のいずれかを検索サーバーとして利用するようになっています。 2.4.8 beta1では、リリースノートに以下のように書かれています。 Adobe Commerce is now optimized for OpenSearch 2.x and is no longer compatible with Elasticsearch. All Elasticsearch 7 and 8 modules and classes are now deprecated in the codebase. Adobe strongly recommends transitioning to OpenSearch for both on-premises and cloud infrastructure deployments to ensure continued support and compatibility.  2.4.7まではElasticsearch 7.x / 8.xがサポートされていましたが、2.4.8では「Deprecated」がつけられるように変わっています。そのため、現在Elasticsearchを利用している環境については、2.4.8にアップデートする際にOpenSearchへの移行を検討する必要がでてきます。その他コンポーネントレベルでは、以下の変更がアナウンスされています。 jquery/validate 1.20.x moment.js 2.30.1 monolog/monolog 3.x monolog/Require.js 2.3.7 TinyMCE 7.x wikimedia/less.php 5.x TinyMCEについては2024年10月のアップデートで既に導入されています。そのほかについても基本的には脆弱性対応などがメインです。Indexerの初期モード変更Adobe Commerce / Magento Open Sourceの運用でしばしばトラブルになりやすい「Indexer」ですが、2.4.8 beta1では初期動作モードが変更になりました。元々動作モードとしては、 Update on Save（随時更新） Schedule（定時処理による更新） が用意されており、2.4.7までは「Update on Save」が初期モードでした。2.4.8 beta1からは「Schedule」が初期モードになるよう変更されています。データ量の多いサイトや、更新頻度の多いサイトが増えてきたことが原因ではないかと思われますが、パフォーマンスを安定させるためにもこれは良い判断だと思われます。在庫管理Adobe Commerce / Magento Open Source 2.3で導入されたMulti Source Inventory（複数拠点在庫管理）機能。この機能が導入された際に、それまで標準として利用されてきた在庫管理機能との互換性を維持するための処理が残されていました。ただ、互換性維持のための処理が残された関係で、2.4.7までの在庫管理では在庫数の不整合問題が起きやすかった面がありました。 2.4.8以降では、この互換性維持のための処理が廃止され、在庫不整合に関する問題が解消されているとされています。その他の変更その他の変更としては、 GraphQLの対応範囲拡充 各コンポーネントの不具合修正・脆弱性対応 が行われています。目立った新機能は現時点ではアナウンスされていませんがbeta2で追加される可能性はありえます。後方互換性のない変更各バージョンで後方互換性のない変更については、下記ページに纏められています。 後方互換性のない変更 2.4.8ではまだ多く記載されていませんが、2.4.7や2.4.6には色々と記載があります。まとめ2025年4月にはAdobe Commerce / Magento Open Source 2.4.8がリリースされる予定となっています。2.4.8 beta2のリリースは2025年2月としばらく間が空いてしまいますが、既に安定度はそれなりにでているため、動作検証を始めるにはうってつけでしょう。

リリーススケジュール通り、Adobe Commerce / Magento Open Sourceのセキュリティリリースが行われました。今回のリリースが2024年では最終となります。次回は2025年2月の予定です。では、早速詳細を確認していくことにしましょう。対象となるバージョン2024年10月現在、Adobe Commerce / Magento Open Sourceのサポート対象となっているバージョン系統は、 2.4.7 2.4.6 2.4.5 2.4.4 となっています。以前のリリースではAdobe Commerceに対する延長サポートとして、2.4.3以前のバージョンに対する記述が含まれていたこともありますが、前回辺りから消えています。そのため、今回のアップデートの対象バージョンは以下の通りです。 2.4.7-p2以前の2.4.7系 2.4.6-p7以前の2.4.6系 2.4.5-p9以前の2.4.5系 2.4.4-p10以前の2.4.4系 また、Adobe Commerce B2Bにおいては、 1.4.2-p2以前 1.3.5-p7以前 1.3.4-p9以前 1.3.3-p10以前 が明確に対象であると示されています。アップデートの内容Adobe Security Bulletinによると、今回のアップデートでは23件の脆弱性が修正されているようです。このうち Criticalが6件 Importantが6件 Moderateが10件 となっています。 このうち、Adobe Commerce B2Bが対象となるCriticalが2件あり、この脆弱性を修正するための緊急パッチがリリースされています。こちらについては後述します。脆弱性の概要今回のアップデートで、対象のバージョンに共通して修正された脆弱性としては、 Security feature bypass Privilege escalation Arbitrary code execution Arbitrary file system read の4種類となっています。 これらの脆弱性については、Adobe Security Bulletinは Note: Authentication required to exploit: The vulnerability is (or is not) exploitable without credentials. Exploit requires admin privileges: The vulnerability is (or is not) only exploitable by an attacker with administrative privileges. としています。脆弱性ごとにレベル感が異なりますが、脆弱性の発現に際して 認証情報 管理者権限 のいずれかまたは両方が必要なものが大半を占めています。（管理者権限が必要なものがほとんどです）なお、CVE-2024-45115 のみがどちらも必要としていない点に注意が必要です。 ただし、この脆弱性についてはAdobe Commerce B2B版のみが対象であるため、 B2B版ではないAdobe Commerce Magento Open Source は対象外となり、今回のアップデート適用に関しては若干緊急度を下げても構わないとされています。今回のリリースの緊急性についてAdobe Security Bulletinでは、緊急度を次の3段階に分けて示しています。 緊急度1・・・最上位の緊急度。72時間以内に対処が必要。 緊急度2・・・中位の緊急度。30日以内の対処を推奨。 緊急度3・・・低位の緊急度。直ちに問題が起きることは考えにくいため、管理者の判断での適用が可能。 今回のリリースについては、 Adobe Commerce B2B・・・緊急度2 Adobe Commerce・・・緊急度3 Magento Open Source・・・緊急度3 となっています。B2B版の環境は注意が必要ですが、それ以外の環境については緊急度は高くありません。これは今回修正された脆弱性のほとんど（CVE-2024-45115を除きます）について、管理者権限の奪取が必要だからです。緊急パッチ同時リリース今回のアップデートに付随する形で、緊急パッチがリリースされています。このパッチは CVE-2024-45115 を修正することが目的で、今回のセキュリティアップデート対象のAdobe Commerce B2Bに共通するパッチとなっています。セキュリティアップデートの適用に時間を要する環境であっても、最低限このパッチだけは適用されることを強くおすすめします。今回のアップデートに伴う仕様変更リリースノート（リンク先は2.4.7ですが、2.4.6以前にも同じ内容が書かれています）によると、今回のアップデートに伴い、 TinyMCE5の廃止とTinyMCE7の導入（CVE-2024-38357対策） require.jsのアップデート（CVE-2024-38999対策） が行われています。特にTinyMCEのアップデートはPageBuilderの使い勝手に影響する部分となっており、今回のアップデートを適用するとTinyMCE5は選べなくなります。アップデート前に関係者に使い勝手の確認を依頼するなどの配慮が必要かもしれません。まとめ2024年はAdobe Commerce / Magento Open Sourceの利用者にとって、 アップデート回数が多い 6月のリリースで過去最悪な脆弱性が報告された 6月以降毎回緊急パッチがリリースされた というあまり運用上嬉しくない年でもありました。特に、6月のリリースで報告された「CosmicSting」は、現在進行系で多くのサイトに被害をもたらしています。2025年も5回のリリースが予定されています。各リリースを注視していきたいと考えています。

2024年6月のCosmicSting（CVE-2024-34102）公表以降、Content Security Policy（CSP）の重要性に対する認識が高まってきています。Adobe Commerce / Magento Open SourceにおけるCSP対応はバージョン2.3.5で導入されたもので、すでに4年以上経過していますが、CosmicStingをきっかけにCSPを有効化するサイトも増えているようです。既に2.4.7系や2.4.6-p6、2.4.5-p8、2.4.4-p9以降のバージョンではCSPの動作モードが変更され、チェックアウト画面では許可されていないスクリプトは動作しないようになりました。 CSPに関するポリシーや動作モードについては以前の記事で解説していますが、今回はcsp_whitelist.xmlの問題点とインラインスクリプトなどの対応方法について解説をしていきたいと思います。csp_whitelist.xmlが抱える問題点まず最初はcsp_whitelist.xmlが抱える問題点についてです。 このXMLファイルは、CSPにおけるホワイトリストを定義するためのものです。ホワイトリストなので、システム管理者があらかじめ把握しているものだけが許可されることになるわけですが、その対象は 外部サイトから配信されるスクリプト が主な対象です。 HTML本文中に記述されるJavaScript HTML本文中に記述されるスタイルシート定義 は配信元URLがないため許可されないことがあります。これらについては「ハッシュ値をあらかじめ計算したうえで、csp_whitelist.xmlに追記」することで対応が可能となっています。手間ではありますが、ハッシュ値さえわかればcsp_whitelist.xmlに記述すること自体は可能です。csp_whitelist.xmlで定義ができないものとはcsp_whitelist.xmlでどうやっても定義ができないものとしては、以下の2つが挙げられます。 イベントリスナー 内容が動的に変わるインラインスクリプト なぜ定義できないのかというと、 イベントリスナー：csp_whitelist.xmlで記述ができない（想定されていない） 内容が動的に変わるスクリプト: csp_whitelist.xmlに一応定義可能だが、ハッシュ値が一定ではないので定義の意味がない という理由があるからです。そのためこれらを許可するためには実装面で工夫をする必要が出てきます。Magento\Framework\View\Helper\SecureHtmlRendererを利用したCSP対策csp_whitelist.xmlで定義しきれないスクリプトについては、Magentoフレームワークは「Magento\Framework\View\Helper\SecureHtmlRenderer」を用意しています。このくらすは、最近のバージョンでは「Magento\Framework\View\TemplateEngine\Php」に対するViewModelとして以下のように宣言されています。     <type name="Magento\Framework\View\TemplateEngine\Php">        <arguments>            <argument name="blockVariables" xsi:type="array">                <item name="secureRenderer" xsi:type="object">Magento\Framework\View\Helper\SecureHtmlRenderer\Proxy</item>                <item name="escaper" xsi:type="object">Magento\Framework\Escaper</item>                <item name="localeFormatter" xsi:type="object">Magento\Framework\Locale\LocaleFormatter</item>            </argument>        </arguments>    </type> どのphtmlテンプレート上からでも暗黙的に呼び出すことができるので、よほど独特なカスタマイズをしていない限りは大きな変更なく使い始めることができます。このクラスには renderTag renderEventListener renderEventListenerAsTag renderStyleAsTag という4つのメソッドが用意されています。メソッド名からなんとなく用途がわかるものばかりですね。基本はrenderTagを用いてスクリプトを描画します。SecureHtmlRendererが用意するメソッドでタグ描画するとどうなるかSecureHtmlRendererが用意しているメソッドを利用して出力されたタグについては、属性に「nonce」がハッシュ値付きで追加されます。こうすることでCSPのポリシーに抵触することなく、インラインスクリプトの利用ができます。 なお、前述の4つのメソッドのうち、 renderEventListenerAsTag renderStyleAsTag はrenderTagと基本的には同じ挙動を示しますが特有の部分が存在します。renderStyleAsTagこのメソッドを使用して描画を行った場合、CSS定義がJavaScript化されるという特徴があります。styleタグにnonceをつけるのではない、というところが独特です。renderEventListenerAsTagSecureHtmlRendererが用意しているメソッドを利用して出力されたタグについては、属性に「nonce」がハッシュ値付きで追加されます。こうすることでCSPのポリシーに抵触することなく、インラインスクリプトの利用ができます。 なお、前述の4つのメソッドのうち、 renderEventListenerAsTag renderStyleAsTag はrenderTagと基本的には同じ挙動を示しますが特有の部分が存在します。 特にrenderStyleAsTagの場合はCSS定義がJavaScript化されるという特徴があります。renderEventListenerについては、scriptタグを使用しない関係上、CSPヘッダーに対象のイベントリスナーを許可するための情報を動的に追加します。この場合、HTTPヘッダーに含まれるCSPヘッダーの値が肥大化するので、HTTPヘッダーサイズには十分注意しましょう。CDNやキャッシュサーバーの設定によっては、オリジンサーバーからのレスポンスが異常なものとして扱われてしまい、正常にクライアントへ送信されない場合がでてきてしまいます。次回予告次回は以下の内容を取り上げる予定です、 CMSブロックに直書きされるJavaScriptへの対策 GTMなどのタグマネージャー運用との折り合い CSPの運用は今後必須になるため、きちんと押さえていくようにしましょう。