状況を説明すると、ECサイトではその多くがEC-CUBEというシステムを使用しているのですが、現在はVersion4.0です。事件は主に2.0系のシステム上で発生しています。
https://www.ec-cube.net/user_data/news/201905/security_notice.pdf

攻撃の詳細を説明します。多くのオンラインショッピングサイトで使用されているEC-CUBEというEC構築システムは、2.0系と4.0系が存在し、2系ではミドルウェアとしてPHP５が使用されていました。そのPHP5ですが、2018年にサポートが終了し、2019年以降は既知のセキュリティリスクが修正されることなく放置されました。株式会社イーシーキューブは、事態の悪化を懸念し、早期に既存ユーザーに対しPHP７をサポートする4.0系への切り替えを告知していましたが、一部のユーザが切り替えを躊躇したことで、PHPの脆弱性を突かれ情報漏洩事件に発展してしまったのです。

攻撃には３つの方法が考えられます。

1. セキュリティパッチがあたっていない場合、攻撃者はEC-CUBE の /data ディレクトリや /install といったディレクトリにアクセスすることで重要情報を取得することができてしまいます。
   そのほころびから、管理画面へのアクセス情報やバックアップファイル、アップロードし た CSV ファイルなどが流出するのです。
2. これは脆弱性ではないのですが、adminのパスワードが初期値の状態だったケースです。
   管理画面の URL を変更せず /admin/ のままで運用していた場合、攻撃者が管理画面にアクセスしやすい状況になります。
3. 管理画面へのアクセス制限が行われてない場合、管理画面のログイン画面に外部から容易にアクセスできる状態ですと、パスワードの総当たり攻撃等で、管理画面にログインされる可能性があります。

こういった攻撃の末に、何が起こるかというと、管理権限を奪取され、管理者権限で、ウェブページの内容を書き換えられてしまうのです。具体的にはリンクが変更され偽リンクをページ内に埋め込まれ、詐欺サイト（今回は偽決済画面）へと誘導されるといったことが発生します。
攻撃者の用意した偽決済画面では、個人情報を入力させ、攻撃者は個人情報をなんなく入手することになります。

対策としては、下記となります。

1. まずは使用しているミドルウェアについて、最新の情報を取得し、現在使用しているものに致命的な脆弱性がないかを確認してください。もしEC-CUBEを使用している場合は、運用状況を確認することことのできるチェックリストが、株式会社イーシーキューブのサイトで取得可能です。
   
   【(エクセル)EC-CUBEバージョン別 運用環境チェックリスト】
   【(PDF)EC-CUBEバージョン別 運用環境チェックリスト】
   ご自身のバージョンがわからない方は以下もご参考ください。
   【動画:EC-CUBEバージョン確認手順】
   
   抜本的な対策としては、旧バージョンから新しいバージョンへのマイグレーションを進めることです。
2. adminのパスワードを出荷時の状態から変更してください。
3. 管理画面へのアクセス制限を実施してください。できれば32bit指定のアドレスでアクセス制限をかけてください。