ECサイトで集客するときに気になるのがセキュリティです。ECサイトのセキュリティ対策の重要度は高いにもかかわらず、自社には「セキュリティの専門的な人材がいない」「セキュリティにはあまり優先度を高く設定していない」といった問題や課題があるケースは少なくありません。
そこで、ECサイトにおけるセキュリティ対策の必要性について解説します。この記事を読めば、セキュリティ事故の原因や対策の仕方、過去の事例がわかります。
目次
ECサイトのセキュリティ事故の種類
ECサイトのセキュリティ事故には、以下の4つの種類があります。それぞれ詳しく説明します。
コンピュータウイルス感染
ECサイトで起こりうるセキュリティ事故の1つに、コンピュータウイルス感染が挙げられます。コンピュータウイルス感染とは、悪意を持ってファイルに寄生し、増殖しながらプログラムを書き換えて不正な挙動をするマルウェアのことです。
ECサイトの場合、サイト情報や権限情報が狙われて、損害を受けることがあります。感染源の多くは、ECサイトを運営する担当者がネット上のサイトアクセスや外部ディスク(USBメモリ)の接続、Eメールのファイル添付を介して感染します。感染を受けると、ログイン情報や編集権限を盗まれて第三者に攻撃を受けるなどセキュリティ上の深刻な問題となりえるのです。
基本的にコンピュータウイルス対策は、セキュリティソフトを入れて、最新のウイルス情報を更新し続けます。これにより、被害を抑えることができます。
クレジットカードの不正利用
ECサイトのセキュリティが甘いことで起こる事故として、第三者によるクレジットカードの不正利用があります。クレジットカードは通常、他人が使用できないように、実店舗では署名やパスワード入力などが行われます。しかし、ショップ上では、カード裏のコードの数字を含めたやカード情報を取得することで、第三者が不正に使用することができてしまうのです。
実害の出るセキュリティ事故として、ニュースや個人SNSの被害報告などで取り上げられるものの多くが、クレジットカードの不正利用や番号情報流出です。
個人情報の流出
ECサイトのセキュリティ事故で特に多いのが個人情報の流出です。個人情報の中には、名前や住所、電話番号といった個人を特定する情報やクレジットカードの決済情報なども含まれています。
個人情報の流出が起きる原因は、コンピュータウイルスやサイバー攻撃、不正アクセス、内部の人間による持ち出し、ミスによる流出などが発端となります。
サイトの改ざん
ECサイトが不正アクセスやサイバー攻撃で狙われた場合に、起こりえるセキュリティの事故としてサイトの改ざんが挙げられます。たいていは、官公庁や大手企業、病院などですが、ECサイトが狙われるケースもあります。
例えば、ECサイト上の情報を書き換えて、虚偽の内容やウイルスを仕込む手口です。特に、外部に情報を自動的に送信する変更が加えられた場合、顧客が入力して送信した情報が、第三者に渡るといった問題が生じます。
サイトの改ざんをする攻撃を受ける場合、脆弱性を利用されるか送りつけたEメールを踏み台としてウイルス感染やアカウントの乗っ取りをされるのが手段として知られています。それ以外に、不正なプログラムが実行された場合に、サイトの改ざんが生じる場合もあります。
現場で役立つプレゼント付き!最新ECノウハウで実践力が身につく! ECハウツー7日間 無料メルマガ講座に登録する
ECサイトでセキュリティ対策が必要な理由
ECサイトは多々あるサイトの種類の中でも、優先的にセキュリティ対策が必要です。その理由について、以下の3つが挙げられます。
ECサイトは狙われやすい
まず、ECサイトは他のサイトに比べてハッカーや悪意ある第三者に狙われやすいという特徴があります。なぜなら、ハッカーはただの嫌がらせではなく、そのリスクに見合った行為として金銭的に得となる情報しか盗みたくないからです。
その際に、ECサイトはクレジットカード情報や個人の重要な情報を多く扱っているため、ハッカーにとっては都合が良いといえます。
そのうえで、ECサイトの構築時にオープンソースを使っていることも珍しくないでしょう。オープンソースはコードが確認できるうえに、脆弱性を狙って攻撃を受けることもあるからです。
もちろん、脆弱性は最新の更新を常にすることで防げます。しかし、ゼロデイ攻撃のように、脆弱性の穴を埋められる前の攻撃に弱いという特徴もあるのです。
ブランドイメージが低下する
ECサイトでセキュリティ対策をせずに、個人情報の流出やクレジットカードの不正利用が起きた場合、ブランドイメージが低下します。顧客の情報流出が起こりやすい、クレジットカードが不正に利用されるショップで買い物をしたいと考える人は少ないでしょう。
特に知名度が高くブランドイメージが優先される企業は、信用問題にも繋がります。また、「安心」「安全」をうりにしているようなECサイトは、たった1つの事故でブランドイメージを毀損しかねません。
損害賠償などに発展する可能性
ECサイトのセキュリティ事故は、運営側が対策の脆弱さを放置したことにより起きた場合、損害賠償に発展する可能性があることです。損害賠償の相手は、顧客だけでなく、取引先の企業というケースもあります。
情報流出事故の中には、実際に顧客全員に数万円の保証を出した事例も存在します。損害の規模や程度に応じて損害賠償が高額化することも考えられるのです。以上を防ぐためにも、セキュリティ対策をしっかりする必要があります。
ECサイトでセキュリティ事故が起こる原因
ECサイトでは対策が不十分だとセキュリティ事故が起こりやすくなります。しかし、対策したくてもセキュリティ事故がどのような原因から起こるのかよくわからない方もいるでしょう。
そこで、セキュリティ事故が起こる原因を外部攻撃・内部不正・人為的なミスの3つにわけて解説します。
外部からの攻撃
セキュリティ事故は、外部から攻撃を受けることで起きます。たいていは、物理的な強奪やサーバーの破損ではなく、ネットワークを通じて不正を働くサイバー攻撃や不正アクセスが主流です。
なかでも、不特定多数に対しての攻撃ではなく、特定の企業(ECサイト)に対して行われるサイバー攻撃を「標的型」と呼びます。例えば、コンピュータウイルスやDoS攻撃、フィッシングなどの手段で個人情報やパスワードを盗んだり、サイトを改ざんしたりするのが代表的です。
セキュリティ対策がしっかりしていると被害を受けにくいですが、脆弱性を狙われることで気づかないうちにECサイトが攻撃を受けます。特にセキュリティの弱いシステム・アプリを使っているECサイトは、外部からの攻撃でセキュリティ事故が起こりやすいでしょう。
内部の不正
ECサイトのセキュリティ事故は、外部からの攻撃だけでなく、内部の不正によってお起こります。例えば、外部に個人情報を持ち出して「意図的に外部流出させる」「第三者に金銭取引で渡す」「会社をやめるときに情報を持ち出す」などです。
外部からの攻撃とは異なり、内部の人間が悪意さえあれば、容易に持ち出せてしまうという問題があります。もちろん、権限が社内全体に適用されているなど、管理の不徹底が背景にある場合もあります。
誰でも情報を持ち出せるようにしているか、もしくは変更できる権限を設定していることが内部不正をしやすくするのです。実際に、刑事事件で個人情報の取引をする元社員が逮捕される事例もあります。そのため、コンピュータ上のセキュリティだけでなく、社内管理上のセキュリティも求められるのです。
人為的なミス
ECサイトは人の手で運営されていることもあり、人為的なミスでセキュリティ事故が起きることがあります。内部の不正が悪意を持って意図的に行われるのに対して、人為的なミスはいわゆるヒューマンエラーの絡む「うっかりミス」による事故と言い換えられます。
例えば、パスワードを紛失する、重要な書類を置き忘れる、パソコン画面で誤操作するなどです。知識としては理解していてもミスが起こるケースと、そもそもセキュリティ知識がなく気づかずにミスするケースとがあります。
現場で役立つプレゼント付き!最新ECノウハウで実践力が身につく! ECハウツー7日間 無料メルマガ講座に登録する
ECサイトのセキュリティ対策のポイント
ECサイトのセキュリティ事故を防ぐためには、対策のポイントを押さえる必要があります。ここでは、8つのポイントを取り上げます。
セキュリティリスクの把握
セキュリティ対策で重要なポイントの1つに、セキュリティリスクの把握が挙げられます。セキュリティリスクがどのような被害をもたらすのか知らなければ、何を目的にどのような対策をするのかわからないためです。
そこで、対策を怠った状態で想定される被害内容としては、アカウントハックにを始めとした以下の3つがあります。
- 不正ログイン
- 不正注文
- チャージバック
「不正ログイン」は、総当りやコンピュータウイルスなどの手段で不正に入手したログイン情報を使い、他人のアカウントにログインすることです。主に、個人情報の流出が主な被害内容となります。
ECサイトがサイバー攻撃や人為的ミスでクレジットカード情報(番号・セキュリティコード)の流出を引き起こすこともあります。
「不正注文」は、第三者が本人以外のクレジットカードで注文することです。
「チャージバック」は、カードの不正利用に伴い、カード会社に注文が取り消されて返金処理することで、商品も返ってこないことです。
これらの被害内容は、ECサイトを運営する事業者や顧客に大きな被害をもたらすため、あらかじめ防ぐことを意識した対策が求められます。
管理者へのセキュリティ教育を徹底
セキュリティリスクを把握したら、次に管理者へのセキュリティ教育を徹底することです。
ECサイトがセキュリティ事故を起こす理由の中には、セキュリティ教育が不十分でリスクを高めているケースがあります。そこで、EC担当者やサイトに関わる自社の社員が高いリクスのある行動を取らないようにするわけです。
具体的な教育内容には、セキュリティポリシーの策定周知、アクセス権限の設定、ヒューマンエラーを防ぐような仕組みの導入とそれを前提とした教育などです。
対応の手順を決めておく
ECサイトのセキュリティ対策では、一定の対応手順を決めておくこともポイントの1つです。
セキュリティ問題の発生に対して、対応できない状況が長く続くと、被害が広がって損害が膨らみ過ぎます。そこで、対応の手順を決めておいて、いざというときに勝たい対処できるようにしておくのです。
特に被害が出る前の予防に必要な手順は大切です。対応するフォローチャートを事前に決めておきましょう。実際に、セキュリティの脆弱が確認されたときは、すぐにシステムにパッチを当てて、必要に応じたバージョンアップを実行します。
顧客情報の管理対策をする
顧客の個人情報は流出が発覚しただけで世間に大きく取り上げられる話題です。セキュリティ対策では、情報の流出をいかに防いで管理に対策を施すかが重要となります。
例えば、「個人情報は絶対に外部に持ち出さない」、「個人情報にアクセスできる管理者を権限付与で制限する」などです。特に何万人という個人情報をセキュリティ意識の低い1人の社員が操作できてしまうと事故のリスクはさらに高まるでしょう。個人情報を一定以上の権限を持つの人物にしか触れなくして、事故や流出を防ぎます。
対策サービスを導入する
サイバー攻撃の場合、対策サービスを導入するのも有効です。対策サービスとしては、「不正検知サービス」や「不正注文防止サービス」などが挙げられます。
「不正検知サービス」では、本人のIDやパスワードでログインしていてもキーボードのタッチ情報などで不正を検知し、通信を遮断するなどの対策を自動で行えるサービスもあります。
また、「不正注文防止サービス」では、AIの判定により、注文者情報に即した不正の自動検知を実施し、与信や注文、チャージバック対策、ポイント不正獲得の防止に活用することが可能です。
クレジットカード決済システムを導入する
クレジットカードで決済することが当たり前となっているEC業界では、ECサイトとクレジットカード情報の流出リスクは切っても切れません。そこで、クレジットカード決済システムを導入することが対策となります。
理由は、クレジットカード決済システムであればカード情報を自社で保存せず、決済システムに任せることができます。つまり、カード情報を自社で独自保存せずに、クレジットカード情報の管理と流出のリスクを減らすことが可能となるのです。
適切にシステムをアップデートする
システムの脆弱性を狙われるサイバー攻撃では、適切にシステムをアップデートするのもセキュリティ対策のポイントです。
付け入る隙をなくして、個人情報や不正なアカウント利用を防げます。ECサイトに利用しているアプリやセキュリティ対策ソフトのシステムアップデートは特に重要です。
サイバー保険に加入する
サイバー攻撃などのリスク対策として、サイバー保険に加入するという方法があります。
サイバー保険とは、セキュリティ被害で生じた損害や賠償に対する負担を補償する保険のことです。調査やコールセンターの設置、法的費用などが保険内容に含まれることがあります。
ECサイトは特に被害を受けやすいため、サイバー保険に加入することも視野に入れておくと良いでしょう。
現場で役立つプレゼント付き!最新ECノウハウで実践力が身につく! ECハウツー7日間 無料メルマガ講座に登録する
ECサイトのセキュリティ事故の事例
ECサイトのセキュリティ事故は毎年10件以上が発生しており、その多くは不正アクセスや脆弱性などを突くサイバー攻撃です。以下に、2019~2022年に起きた事故の中から代表的な事例と被害内容を載せます。
事例①A社の250万件以上にも及ぶ個人情報の流出
A社は、ECサイトのサービス利用に登録していた顧客の個人情報が不正アクセスを受けて流出事故を起こします。狙われたのはSQLで、データベースを管理するプログラムです。個人情報の中には名前やメールアドレスだけでなく、生年月日などの個人を特定しうる重要な情報が第三者に取得されてしまった事例です。
事例②B社の1.5万人以上の個人情報と1,500件以上のクレジットカード情報流出
B社は、委託先の会社が不正アクセスを受けたことにより、B社運営のECサイトの1.5万人以上の個人情報及び1,500件以上のクレジットカード情報が流出した事例です。
事例③C社の2,000件以上のカード情報流出
C社は、ショップ導入ツールにおけるシステムの脆弱性を付かれ、2,000件以上のクレジットカード情報を流出しています。同様の脆弱性は、同時期に他のECサイトでも流出被害をもたらしています。
事例④D社の4万名以上の個人情報と2,500件以上のカード情報が流出
D社では、外部から持ち込まれた不正プログラムにより、顧客4万名以上の個人情報や2,500件以上のカード情報が流出しています。セキュリティコード含む情報が流出したことで、カード不正利用の懸念がある事故です。
ECサイトを運営するならセキュリティ対策は万全に
ECサイトには商品販売に必要な顧客情報があり、カートシステムやサイトを構成する情報といった機密性が高いものが多く保管されています。リスクを減らすためには、セキュリティ対策を施すことが重要です。
対策方法は数多くあるため、できることからどんどん取り入れましょう。セキュリティの人材がいない場合や知識がない場合は、専門家に相談するとより万全に対策できます。
まとめ
今回は、ECサイトのセキュリティ対策が必要な理由について、その原因や対策、事例などを取り上げました。
ECサイトは顧客の個人情報といった重要なデータが保管されており、セキュリティ事故を起こすと問題が多くあります。そのため、管理者はセキュリティの重要性に対する認識を改めて、ECサイトでも十分な対策を施す必要があるのです。
ここで取り上げた原因の種類や事故の事例などを参考に、十分な対策方法を検討しましょう。
現場で役立つプレゼント付き!最新ECノウハウで実践力が身につく! ECハウツー7日間 無料メルマガ講座に登録する
