【完全版】ECサイトが狙われる4つのセキュリティ事故と対策を詳しく解説

コロナ禍でEC市場は急拡大していますが、並行してサイバーセキュリティ事件・事故が多発しています。さらにウクライナ情勢によるサイバー攻撃は国内においても対岸の火事ではありません。特にECサイトは顧客の住所や氏名、クレジットカード情報などの個人情報が多く保管されており、攻撃の標的になりやすい傾向があります。

セキュリティのリスクは非常に高まっていますが、基本的な対策をしっかりおこなえば、大部分の攻撃や事故は未然に防ぐことができます。本コラムでは、ECサイトの運営者が抑えておきたいセキュリティ対策のポイントを分かりやすくまとめました。大切なECサイトを守るためにも、ぜひ最後までご一読ください。

1. ECサイトのセキュリティ事故と対策
2. ECサイトのセキュリティ事件・事故の事例と損害
3. まとめ

ECサイトのセキュリティ事故と対策

ECサイトで発生するセキュリティ事故は、主に次の4つがあります。

情報漏えい・紛失
Webサイトの改ざん
マルウェア感染
DoS・DDoS攻撃

ひとつずつ詳しく見ていきましょう。

1.情報漏えい・紛失

情報漏えいとは、悪意ある攻撃や不注意により、保有する個人情報やクレジットカード情報などが外部へ流出してしまうことです。

東京商工リサーチの調べ（2021年）によると、情報漏えいの5割は「ウイルス感染・不正アクセス」が原因であるとのこと。そしてEメールの「誤表示・誤送信」が3割を占めます。

情報漏えいの約半数は、ウイルス感染などの外的要因が原因であり、同じく約半数は誤送信などの内部要因が原因です。業種を問わずコロナ禍でDX(デジタルトランスフォーメーション)が進んでいますが、反面で情報漏えいの事故も右肩上がりで増えています。

※画像引用：東京商工リサーチ
https://www.tsr-net.co.jp/news/analysis/20210117_01.html

1.情報漏えい・紛失

情報漏えい・紛失を防ぐには、「ウイルスに感染しない」こと。そして「社内で機密情報の取扱いを適正におこなう」の2点が大原則です。具体的には次の対策をおこないます。

【ウイルス感染させない対策】

OSとセキュリティソフトを常に最新状態にしておく
個人的なソフトを業務パソコンにインストールさせない
不審なメールの添付ファイルは開かない
不審なWebサイトのURLやリンクをクリックしない

【機密情報の取扱い対策】

許可なくデータを持ち出さない
データを未対策のまま放置・廃棄しない
許可なく他の人にデータを貸与または譲渡しない
業務上知り得た情報を許可なく公言しない
情報漏えいを起こしたら、まず報告する

コロナ禍でリモートワークする機会が増え、社外に機密情報を含んだパソコンやUSBメモリを持ち運ぶかたも多いかと思います。デバイスも小型化で持ち運びに便利なため、電車や公衆トイレ、カフェなどで紛失してしまうケースも…。社内で機密情報の取扱いルールを決めてしっかり運用しましょう。

2.Webサイトの改ざん

Webサイトの「改ざん」とは、Webサイトの管理者が意図しない変更が第三者によっておこなわれることを指します。改ざんがおこなわれると、ECサイトを訪問したユーザーが、詐欺サイトへ誘導されて個人情報の抜き取りや、不審な商品を買わされるなどの被害が発生します。

一般社団法人JPCERTコーディネーションセンターの調査(2021年7月)によると、2021年4月1日～2021年6月30日の3ヶ月間で報告のあったWebサイト改ざんの件数は、251件であったとのことです。

※画像引用：JPCERT/CC インシデント報告対応レポート
https://www.jpcert.or.jp/pr/2021/IR_Report20210715.pdf

上記は改ざんされたWebサイトにアクセスした際に表示される「ラッキービジター詐欺ページ」の例です。改ざんされたWeb サイトには、不正なPHPスクリプトが設置されており、そのスクリプトを利用して多数の不正なページが作成されてしまいます。

Webサイトの改ざんを阻止する対策

Webサイトの改ざん手口は大きくわけて次の2種類があります。

管理者アカウントを乗っ取り改ざんする
Webサイトなどの脆弱性を突いて改ざんする

管理者アカウントの乗っ取りを阻止するには、次の章で紹介する「マルウェア対策」が有効な方法です。

Webサイトの「脆弱性」とは、ECサイトのソフトウェアやサーバーに存在するプログラムの不具合や設計ミスのことです。悪意ある第三者が脆弱性を突いて突破し、サイト内へ侵入して改ざんされてしまいます。脆弱性に対する最も有効な対策は、サーバーやOS、ソフトウェアなどのバージョンを常に最新に保つこと。そしてセキュア開発を徹底し、ソースコード診断や脆弱性診断を定期的におこなうことが大切です。

3.マルウェア感染

マルウェア(Malware)とは、不正かつ有害に動作させる意図で作成された、悪意のあるソフトウェアの総称です。キヤノンMJグループが発表した2021年上半期サイバーセキュリティレポートによると、2018年から2021年上半期までに国内で検出されたマルウェアは、常に高い検出数が続いているとのことです。

※画像引用：2021年上半期サイバーセキュリティレポート
https://eset-info.canon-its.jp/files/user/malware_info/images/ranking/pdf/MalwareReport_2021FirstHalf.pdf

パソコンがマルウェアに感染すると次の被害が発生します。

個人情報・機密情報の抜き取り
クレジットカード情報の抜き取り
データの破壊
スパムメールの発信

特にECサイトは大量の顧客情報を管理しているので、マルウェアに感染すると被害が大きくなります。

マルウェアを阻止する対策

マルウェアに感染する経路で最も多いのは、「メール」と「Webサイト」です。悪意あるメールに添付されたWordやExcelなどのファイルを開くことで自動的に実行されて感染します。さらにHTML形式のメールであれば、プレビュー表示だけで実行されることもありますので、不審なメールは開かないようにしましょう。

Webサイトにおいては、ブラウザの脆弱性をねらった手口で、画像や動画、音楽ファイルなどにプログラムを仕掛けて侵入する手口です。そのほか、Winny、Shareなどファイル共有ソフトにおいてもファイルに仕組まれているケースが多くあります。不審なWebサイトへアクセスしないこと。そして個人的なソフトウェアを無断で持ち込まない・持ち込ませないことが大切です。

4.DoS・DDoS攻撃

Dos攻撃(Denial of Service attack）とは、悪意ある第三者がWebサイトにアクセスを集中させたり、サーバーに大量のデータを送りつけたりすることで、サーバーをパンクさせる手法です。DDoS攻撃（Distributed Denial of Service）は、さらにサーバーへ大きな負荷をかける手法です。

※画像引用：NTTコミュニケーションズ
https://www.ntt.com/business/services/network/internet-connect/ocn-business/bocn/knowledge/archive_18.html

第三者がDos攻撃を仕向ける理由はさまざまですが、単純な嫌がらせや営業妨害、脅迫、抗議活動など。最近では国際的ハッカー集団「アノニマス」がロシアに対して攻撃を仕掛ける声明が取り沙汰されていますが、彼らの主な攻撃手法がDos攻撃です。

攻撃を受けるとECサイトを訪れたユーザーがアクセスしづらい状態が続き、やがてサーバーがダウンします。サーバーが正常に動かないとユーザーはECサイトで購入できないため、大きな機会損失につながり、ブランドにも悪影響を及ぼしかねません。

DoS・DDoS攻撃を阻止する対策方法

DoS攻撃を回避する代表的な方法は次の3つです。

不審なIPのアクセス制限
特定の国からのアクセスを遮断する
DDos攻撃対策のツールを導入する

攻撃を仕掛けているIPアドレスが特定できれば、同IPのアクセスを制限することで回避することができます。また、特定の国から攻撃を受けているのであれば、国単位でアクセス制限をかけることも可能。ただし、IPや国が無数にあるDDoS攻撃には効果は減ります。また、越境ECサイトであれば、国単位で制限すると機会損失になる可能性もあります。

DDos攻撃対策のツールで最も一般的なのは「WAF（ワフ）」と呼ばれる手法です。WAFは従来のファイアウォールやIPS（Intrusion Prevention System）のようなネットワーク・サーバーレベルでの侵入阻止に加えて、アプリケーションレベルで阻止することができます。
なお、WAFの種類にもよりますが、専用機器の購入によって初期費用が高額になり運用負荷もかかるため、経済的・運用的なコストが課題となります。

ECサイトのセキュリティ事件・事故の事例と損害

セキュリティ事故は毎日多く発生しており、とりわけECサイトは重大事件・事故へと発展します。直近では不正アクセスにより次の事例が発生しております。

発生日	被害のあったECサイト	保障内容
2021年11月1日	ベイシアネットショッピング	クレジットカード情報3101件、個人情報25万4207件が流出した可能性
2021年11月4日	ライトオン公式オンラインショップ	保有していた約25万件の個人情報が流出
2022年3月28日	メタップスペイメント（決済サービス）	最大46万件のカード番号やセキュリティコードなどが流出

ECサイトはサーバーに顧客情報など重要なデータを格納していますので、セキュリティ事故が発生すると大きな被害が発生します。セキュリティ事故が発生すると、原因特定に大きな費用と労力がかかります。そして原因調査～改善するまでの間は、ECサイトの一時休止を余儀なくされるため、売上に大きな影響を及ぼします。

さらに、クレジットカード決済においては、セキュリティ事故による不正使用が明らかになった場合、不正利用分の求償請求を受けることになります。なお、求償請求にはカード再発行費用などの実費も含まれます。

ECサイト運営者にとって、セキュリティ事件・事故が起きた際のコスト、労力の負担は大きく、ブランドにも悪影響を及ぼします。EC事業の継続計画(BCP)において、セキュリティ対策は「最重要課題」であることは間違いないでしょう。

まとめ

ECサイトはWebサイトやカートなどの「ソフトウェア」と、サーバーやネットワークの「ハードウエア」の2種類で成り立ちます。それぞれの管理が自社なのか、他社(プラットフォーム企業)かは、利用するECカートシステムによって異なります。自社管理の場合は、本コラムでご紹介したセキュリティ対策をしっかりとおこない事故を未然に防ぎましょう。もちろんセキュリティ対策には相応の経済的・運用的コストがかかります。これからECサイトをはじめるかたや、売上規模が小さいEC事業者のかたであれば、低コストで高いセキュリティが保たれるカートASPが断然おすすめです。