最終更新日: 2020-03-24
キャッシュレス決済やオンライン上での売買が浸透する中で不正アクセスや個人情報漏えい問題も日々増加しており、今ではネットショップ運営者様においてセキュリティ対策は欠かすことができないポイントの1つです。
今回は昨今発生している情報漏えいの被害や主な手口、防ぐために最低限必要なことをご紹介します。
1.情報漏えい被害の実態
2.最近のECサイトの改ざん手口とは
└第三者による不正アクセス
└脆弱性をついた不正アクセス
3.セキュリティ事故を防ぐために
4.まとめ
1.情報漏えい被害の実態
まず、「情報漏えい」とは自社で保有している様々な情報が、何者かの手によって外部に流出してしまう事をさします。ネットショップを運営する運営者様は仕入先の取引情報のみならず購入者様(ユーザー)のクレジットカード情報等あらゆる個人情報を取得しているため、その情報が悪用され情報漏えいが発生した際の被害は計り知れないものかと思います。
JNSA(特定非営利活動法人日本ネットワークセキュリティ協会)の「2018年 情報セキュリティインシデントに関する調査報告書報告書」によると2018年の個人情報漏えいインシデントの件数は443件で、2017年(386件)から増加しており、漏えい人数は561万3,797人で2017年(519万8,142人)から微増と報告されています。その中でも不正アクセス件数は、前年と比較し3%近く増加しているようです。
直近では、東京商工リサーチも調査結果を発表しており2019年個人情報の漏えい・紛失事故を公表したのは66社、事故件数は86件、漏えいした個人情報は903万1,734人の結果でした。中でもやはり個人情報漏えい件数が1万件以上のものはウイルス感染や不正アクセスによるものが多く、群を抜いて際立っていたようです。
これらのようにオンライン上における不正アクセスは1件発生しただけで膨大な情報が流出してしまうケースが多く被害も大きいため、運営者様で不正アクセスあわないよう気をつけることが必要です
2.最近のECサイトの改ざん手口とは
不正アクセスといっても手法は様々あり、日々手口も巧妙になってきているといわれています。
■第三者による不正アクセス
アクセス権限を持っていない第三者がネットショップやその管理下にあるサーバーに進入し、そこに蓄積されているデータを抜き取ること。目的のサーバーやシステムに侵入するためにサイバー攻撃を仕掛け、該当のシステム内の情報を書き換えたり、個人情報や機密情報を窃取したり、改ざんされる等の事例があります。
大抵のユーザーは複数サイトで同一IDとパスワードの組み合わせを使いまわしているという習慣を逆手に取り、IDやパスワードの組み合わせを用意し連続的に攻撃を仕掛けログインするような手口も横行しています。
■脆弱性をついた不正アクセス
WEBサイトやパソコン上のソフトウェア、OSにおいて不具合やプログラムの欠陥が見つかり、セキュリティ更新プログラムが公開される前や対処前の脆弱性を狙って攻撃を仕掛けられる種類の不正アクセスのことです。
最近ではEC-CUBEの一部の脆弱性を狙い、ネットショップ上でユーザーが商品購入を進めると、偽造された決済画面に遷移しその画面上でユーザー自身がクレジットカード情報を入力し決済手続きを完了させようとすると偽造されたエラー画面が表示され、その後再度決済手続きを求められるような手口も発生しています。
これらの不正被害発生の原因には、プログラムインストール時の不備や過去発表された脆弱性対応に対して、運営者様側でプログラムの更新作業が実施されていない隙をつかれて攻撃されるケースが多く発生しているようです。
▼EC-CUBEの注意喚起
・https://www.ec-cube.net/news/detail.php?news_id=348
・https://www.ipa.go.jp/security/announce/alert20191225.html
残念ながら、完璧なセキュリティ環境を整える事は難しくインターネット上に脆弱性はつきものです。だからこそ脆弱性が発表された後の対応やそのような情報を検知するアンテナを高く持っていただくことが運営者様のネットショップを安全に守ることに繋がります。
3.セキュリティ事故を防ぐために
セキュリティ事故を起こさないためにも今運営しているサイトが十分未然に防ぐ対策が施されているのかどうか今一度確認してみましょう。最低限必要な対策は以下の通りです。
・サイト上にSSL暗号化通信を導入する
※過去にこのブログで紹介したものがありますのでそちらも参考にしてみてください。(SSLサーバ証明書って何?)
・パスワード設定は複雑なものを設定する
・OSやブラウザは最新の状態にアップデートする
一見、よく目にするワードかと思いますが、身近すぎて対応し忘れてしまうような項目もあるかと思います。しかしながらいつあなたのショップが被害にあうかもわかりませんので定期的に上記3点については見直しを図ってみましょう。
カラーミーショップやMakeShopなどのASP(Application Service Provider)のショッピングカート機能を利用している場合、その企業側がアップグレードをするケースが大半ですが、EC-CUBEのようなオープンソースのツールを利用して自由度の高いサイトを構築しているお客様においては、ソフトウェアの更新プログラムをこまめに確認し対応することを心がけましょう。
また、サイト制作会社等にサイト構築をお願いしている場合は、定期的に状況を確認してもらうことも検討するのも継続して高いセキュリティを保つ事に繋がると思います。
4.まとめ
日々身の回りの生活が便利になる一方で、それを悪用して情報を取得しようとする事例も日々変化しており手口は様々です。そんな中でも購入者様(ユーザー)に安心して買い物を楽しんでもらうために、セキュリティ意識を高く持ち対策につとめていきましょう。
REST APIとモバイルSDKで開発できるエンジニア向けの決済サービスなら
