今さら聞けないECのセキュリティリスク「情報漏洩」対策について解説

ECサイトのセキュリティリスク「情報漏洩」対策について解説

ECサイトを運営していると、さまざまなセキュリティリスクに直面します。特に注意が必要なのは「会員情報の漏洩」です。今回は、ECサイトにおける情報漏洩リスクの原因と対処法を解説します。

ECサイトで会員情報が漏洩する原因と対策

会員情報の漏洩は、ECサイトにおける重大なセキュリティリスクです。会員のIDやパスワード、氏名、住所、電話番号、クレジットカード番号などがECサイトから漏洩する事故は後を絶ちません。会員情報が漏洩する原因は、悪意を持った第三者による不正アクセスや、人為的ミスによる流出など、多岐にわたります。

また、ECサイトにクレジットカード決済を導入している場合、EC事業者が顧客のクレジットカード情報を保持することは原則禁止されています。カード情報を保持する場合はクレジットカード決済に関するセキュリティの国際基準「PCI DSS」に準拠した情報管理体制の整備をする、 あるいはPCI DSSに準拠した決済代行サービスを導入しましょう。

情報漏洩が発生すると、顧客離れを招くだけでなく社会的信用を失うリスクがあるため、対策が必要です。以下3つの原因と対策について解説します。

原因(1)ネットワークやサーバへの不正アクセス

情報漏洩の原因の1つに、悪意を持った第三者がECサイトのネットワークやサーバにインターネット経由で侵入し、顧客情報を盗み取る手口があります。こうしたサイバー攻撃から会員情報を守るには、適切なセキュリティ対策が必要です。

1)不正アクセスへの対策

不正アクセスを防ぐには、ネットワークへの侵入を防ぐFW(ファイアウォール:Firewall)のほか、サーバOSやWebサーバソフトへの侵入を防ぐIPS(不正侵入防止システム:Intrusion Prevention System)、Webアプリケーションの脆弱性を突いた不正アクセスを防ぐWAF(Web Application Firewall)などが使われます。

ネットワークやサーバに侵入された場合は早期発見が重要です。サーバ上のアプリケーションの稼動状況をリアルタイムで監視するシステムを導入すると、不正アクセスが発生した際、早期に検知して被害の拡大を防ぐことができます。

2)サイト改ざんへの対策

会員情報が漏洩する原因として、ECサイトが改ざんされて会員情報を抜き取られるケースもあります。

フォームジャッキング

フォームジャッキング

例えば、ECサイトの決済画面を改ざんし、会員が偽のフォームにクレジットカード番号を入力するように誘導して情報を抜き取る手口です。これは「フォームジャッキング」と呼ばれ、過去にはオープンソースのECシステムで被害が発生しました。[1]

出典

ECサイトの改ざんを防ぐには、ECシステムのOSやアプリケーションに脆弱性が見つかった際、脆弱性に対応した新バージョンがリリースされ次第、できるだけ早期にアップデートを行うことが必要です。OSやアプリケーションのサポートが終了している場合や、開発元がバージョンアップを行わない場合は、セキュリティリスクが高いためシステム変更を検討すべきでしょう。

また、ECサイトが改ざんされた際に、即座に検知するセキュリティ対策ツールを導入することも効果的です。改ざんを検知すると、自動で復旧してくれるWeb改ざん検知・復旧ツールもあります。

原因(2)アプリケーションのセキュリティ上の不備を利用した攻撃

ECサイトで使用しているアプリケーションに脆弱性があると、さまざまなサイバー攻撃によって顧客情報が漏洩するリスクがあります。ECサイトからの情報漏洩の原因となるサイバー攻撃には「SQLインジェクション」「クロスサイト・スクリプティング(XSS)」「クロスサイト・リクエスト・フォージェリ」などがあります。

SQLインジェクション

SQLインジェクション

「SQLインジェクション」とは、データベースの作成や操作などに使われる言語「SQL(Structured Query Language)」を利用したサイバー攻撃です。例えば、ECサイトの会員データベースに脆弱性があると、悪意を持った第三者がフォームに不正なSQL文を入力してデータベースを操作し、登録されている会員IDやパスワードなどの閲覧や改ざんを行うリスクがあります。

クロスサイト・スクリプティング(XSS)

クロスサイト・スクリプティング(XSS)

「クロスサイト・スクリプティング」とは、ECサイトで使っているアプリケーションの脆弱性を利用し、サイト上で不正なスクリプトを実行して顧客情報などを抜き取るサイバー攻撃です。

攻撃対象のECサイト(対象サイト)とは別のサイトに顧客がアクセスした際、対象サイトで不正なスクリプトが実行されるプログラムを顧客に仕掛けた上で、顧客を対象サイトに誘導してスクリプトを実行させるなど、複数のサイトをまたいで攻撃が行われます。

まず、悪意を持った第三者がXSSの脆弱性があるECサイトを見つけると、そのECサイトを利用する顧客がよくアクセスする掲示板やSNSなどに罠を仕掛けます。その罠が仕掛けられたリンクをクリックすると、顧客のパソコンに不正なスクリプトが保存された状態でECサイトへ移動します。

ところが、ここでスクリプトが実行されてよく似た偽サイトへ移動し、偽サイトで個人情報を入力してしまったり、マルウェアを感染させられたりします。

クロスサイト・リクエスト・フォージェリ(CSRF)

クロスサイト・リクエスト・フォージェリ(CSRF)

「クロスサイト・リクエスト・フォージェリ(CSRF)」とは、ECサイトなどのログイン状態を維持した顧客が悪意のある第三者が作ったWebサイトなどにアクセスした結果、会員本人の意思とは関係なくECサイトにリクエスト(データの送信や処理の要求)が送られてしまうサイバー攻撃です。ECサイトのアプリケーションにCSRFの脆弱性があると、会員のなりすましや、IDの乗っ取りなどが発生する可能性があります。

アプリケーションの脆弱性への対策

SQLインジェクションやXSS、CSRFなどを防ぐには、不正なSQL文やスクリプト、リクエストなどが実行されないプログラムを構築し、アプリケーションの脆弱性をつぶしておく必要があります。また、Webアプリケーションへの不正アクセスを防ぐWAF(Web Application Firewall)を利用することも効果的です。

具体的な対策方法は独立行政法人情報処理推進機構セキュリティセンターが公表している「安全なウェブサイトの作り方 改定第7版」なども参考にしてください。

原因(3)データ紛失など人為的ミス

情報漏洩の原因はECシステムの脆弱性だけではありません。人為的なミスによるものも多く、情報漏洩の原因の約6割は、紛失や置き忘れ、誤操作、管理ミスなどの人為的なミスによるものという調査結果もあります。[2]

例えば、「顧客情報を保存した業務用ノートパソコンを電車に忘れてきてしまった」「データを保存したUSBメモリを紛失した」といった理由で会員情報が漏洩することがあります。また、顧客情報を管理しているソフトウェアの設定ミスで、外部から顧客情報が閲覧できる状態になっていたケースもあります。

出典

人為的ミスへの対策

人為的ミスによる情報漏洩を防ぐには、会員情報へのアクセス権限を厳密に管理することが重要です。例えば、管理画面のIDとパスワードを特定の管理者のみに付与し、不特定の社員が会員情報を閲覧できないようにすることで、社員が不用意に情報を持ち出すことを防げます。また、管理画面のアクセスにIP制限を設ければ、社外などから管理画面への侵入を防ぐことができます。

その上で、セキュリティリスクについて社員教育を行い、情報管理に対する意識を高めることも必要でしょう。情報漏洩は、システム側の対策やオペレーションだけで防ぐことはできません。セキュリティ対策ツールを導入しても、それを使う社員のセキュリティ意識が低ければ人為的ミスが発生するでしょう。機密情報の取り扱いに関するルールの策定や、業務用のデバイスで不審な添付ファイルやリンクを開かないなど、社員1人1人の意識を高めることもセキュリティ対策の重要なポイントです。

システムベンダーや運用代行会社を選ぶ際の注意点

ECシステムを選定する際にもセキュリティリスクを考慮する必要があります。SaaS/クラウド型のECシステム、ECパッケージシステムなどを使ってECサイトを構築した場合、原則としてシステムベンダーがセキュリティ対策を行うため、システムベンダーのセキュリティ体制やバージョンアップの頻度なども確認しておく必要があるでしょう。 特にECパッケージでECサイトを構築する場合、不正アクセス対策ツールやサーバ監視システム、サイトの改ざんを防ぐシステムなど、セキュリティ対策のツールやサービスをオプションとして提供している構築ベンダーを選ぶと安心です。

運用代行会社を選ぶ際はセキュリティ対策を確認

ECサイトの運用業務を運用代行会社に委託する際は、個人情報の取り扱いに注意が必要です。委託先が会員情報などの個人情報を扱う場合、個人情報が適切に管理されていることをEC事業者が管理しなければなりません。ISO27001(情報セキュリティマネジメントシステムに関する国際規格)やプライバシーマーク制度の取得の有無は、運用代行会社のセキュリティ対策や情報管理態勢を審査するうえで目安になるでしょう。

あわせて読みたい関連記事

ECベンダー・システムの選び方【すぐ使えるチェックリスト付き】

ECベンダー・システムの選び方【すぐ使えるチェックリスト付き】

自社ECサイトを構築するときによくある失敗を踏まえ、自社に合ったベンダー選びのためのRFPとベンダー比較表の作り方、チェックポイントについてまとめています。

EC運用代行には何をおまかせできる?注意したいチェックポイントと活用する3つのメリット

EC運用代行には何をおまかせできる?注意したいチェックポイントと活用する3つのメリット

EC人材不足とスキル不足に悩むEC事業者に「運用代行サービス」の活用を推奨する理由と、自社にあった委託先の選び方を解説します。

セキュリティ対策を怠るリスクは「信頼失墜」

ECサイトから会員情報が漏洩すると、経済的な痛手だけでなく、社会的信用も失います。経済的損失という点では、会員への損害賠償、情報漏洩の原因究明や再発防止策の費用などが考えられます。セキュリティ対策が完了するまでECサイトを停止した場合、機会損失も発生します。情報が漏洩したクレジットカードが不正利用されると、損害賠償を請求される可能性もあります。

こうした経済的損失に加え、情報漏洩の大きなリスクといえるのが「企業の信頼失墜」です。ECサイトの利用者が減少するだけでなく、EC以外の事業のブランドイメージも低下するなど、影響が広範囲に及ぶ可能性があります。

セキュリティ対策を強化したからといって、売上が急に伸びるわけではありません。しかし、セキュリティ対策を怠ると、ある日突然、売上が急減するリスクがあります。

不正アクセスの新しい手口は次々と生まれ、ECサイトのセキュリティ対策に終わりはありません。新型コロナウイルスの影響で買い物のオンライン化が加速し、ECサイトの利用者の裾野が広がっていく中で、顧客から選ばれ続けるお店を作るには、安心して買い物ができる環境を整えることが必要です。ECシステムの脆弱性への対策だけでなく、情報管理の厳格化や社員教育など、包括的な対策を続けていくことが必要でしょう。

あわせて読みたい関連記事

クレジットカードの不正利用を防ぐ!EC事業者が取り組むべきセキュリティ対策とは

クレジットカードの不正利用を防ぐ!EC事業者が取り組むべきセキュリティ対策とは

ECサイトを運営していると、さまざまなセキュリティリスクに直面します。本記事では、ECサイトにおける不正利用のリスクと、3-Dセキュア2.0を含む不正利用を防ぐための対策について解説します。