ECサイトのセキュリティ対策が重要な理由と意識したいポイント

ECサイトとは、電子商取引（EC）を行うWebサイトのことです。具体的には、ショッピングモールやオンライン通販サイトなど、商品を販売する売り手が店舗を運営し、買い手が商品を購入するサイトを指します。

ECサイトを運営する際には、会員や顧客の個人情報を狙う「サイバー攻撃」が仕掛けられるおそれがあるため、運営者側でセキュリティ対策をとることが大切です。

この記事では、ECサイトにおけるセキュリティ対策の重要性について、代表的なサイバー攻撃の手口も含めながら紹介します。

ECサイトのセキュリティ対策で意識しておきたいポイントや実際に起こったトラブル事例も取り上げていますので、参考にしてください。

 
 

ECサイトにおけるセキュリティ対策の重要性

ECサイトは訪問者に商品やサービスを提示し、販売する場所です。顧客となる訪問者はサイトや運営を信頼して商品・サービスを購入します。

このやり取りには料金の振り込みやクレジットカードの登録といった金銭にかかわる情報送信が行われるため、セキュリティ対策はすべてのECサイトに必須の条件となっています。

ここからは、なぜセキュリティ対策が重要なのか3つのポイントを確認していきましょう。

 

サイバー攻撃を受けやすい

サイバー攻撃とは、悪意ある第三者がネットワークを通じてサーバーやパソコンにアクセスし、個人の登録情報を盗み取ったり、サイトをダウンさせたりする攻撃の総称です。

サイバー攻撃の目的は嫌がらせや情報の窃取などさまざまですが、ECサイトでは登録された個人情報やクレジットカード情報を盗もうとする攻撃が多くみられます。

ECサイトに直接攻撃をかけるだけではなく、元のECサイトによく似た偽のサイトを作成し訪問者を誘導して、クレジットカード情報を入力させるケースも報告されています。

ECサイトを運営する際にセキュリティ対策を高じていなければ、サイバー攻撃の標的になりやすいため注意が必要です。

 

社会的信用を失う

サイバー攻撃の方法ややり口が巧妙かつ多様化しているため、ECサイトだけではなくすべてのWebサイトでセキュリティ対策が必須となっています。

もしセキュリティ対策を実施していなければ、信頼性が低いサイトとしてみなされる可能性があります。興味をもってサイトにやってきた顧客がセキュリティレベルの低さをみて敬遠する可能性もあるのです。

ひとつでも問題が起きてしまうと、社会的信用はさらに低下します。ブランドイメージが損なわれたり風評被害が広がったりするケースもあり、株式会社では株価の下落が懸念されます。

 

損害賠償を請求される

セキュリティ対策不足によってトラブルが起きると、社会的信用の低下にとどまらず大きな損失が発生するおそれもあります。

一例として、情報漏えいによる損害賠償が挙げられます。JNSAセキュリティ被害調査ワーキンググループの調査によれば、インターネット上に公開された個人情報漏えいインシデント情報をもとに想定される損害賠償額は、1人あたりの平均値（想定）で2万9,768円でした。※

1人あたりの金額は小さくても、漏えいの範囲が広いほど損害を受ける顧客が増えるため、実際には多額の損害賠償金が発生する可能性があります。

※参考元：特定非営利活動法人日本ネットワークセキュリティ協会「2018年 情報セキュリティ インシデントに関する調査報告書【速報版】」

 

ECサイトが狙われる代表的なサイバー攻撃

サイバー攻撃の一種に、ECサイト改ざんによる不正スクリプトの埋め込みという手法があります。

2022年、一般財団法人日本サイバー犯罪対策センターではトレンドマイクロ株式会社やその他の会員企業と連携し、ECサイト改ざんによるクレジットカードの情報を窃取する手口を確認しました。

不正スクリプトの埋め込みは「Webスキミング」とも呼ばれ、利用者が改ざんされたECサイトにアクセスすることで不正スクリプトを参照させ、購入時に送信したクレジットカード情報が不正スクリプトを通して窃取されるという内容です。

この攻撃では、利用者が注文を完了すると同時に氏名・住所・カード情報といった入力情報が悪意ある第三者側に自動送信される仕組みであり、情報を入手した側はなりすましによってクレジットカードの不正利用が可能になります。※

※参考元：日本サイバー犯罪対策センター「ECサイト改ざんによるクレジットカード情報窃取について」

 

ECサイトのセキュリティ対策を行う際のポイント

ECサイトのセキュリティ対策では、自社サイトにどのようなリスクがあるのかを把握し、サイトの管理者や運営者への周知・教育を徹底する必要があります。

脆弱性や問題点が見つかった際の対応マニュアルやクレジットカード情報の非保持といった点も、運営側と利用者側の双方を守るうえで重要です。

ここからは、セキュリティ対策に欠かせない7つのポイントを押さえておきましょう。

 

ポイント①どのようなリスクがあるのかを把握しておく

セキュリティ・インシデントと呼ばれるトラブルは、身代金として金銭の支払いを要求する「ランサムウェア」や遠隔操作型のBOTマルウェアである「Emotet（エモテット）」など多様化しています。

インターネット上でECサイトを運営する以上、どのWebサイトもサイバー攻撃を切り離すことはできないため、攻撃の形態やリスクを把握しておかなければなりません。

定番化している攻撃手法に加えて、近年増加傾向にある攻撃も把握しておくことが大切です。

 

ポイント②サイト管理者に対する教育を徹底する

サイトの管理者には、サイバー攻撃を受ける可能性とその内容、被害のリスクを周知しておきましょう。

管理者がサイバー犯罪をよく知らなければ、万が一のトラブルにも対応しきれず重大さに気づくまでに時間がかかってしまいます。

セキュリティ・インシデントにはシステムの設定ミスやデータの非暗号化（暗号化忘れ）といった人的ミスも存在するため、周知徹底のうえでサイバー犯罪に関する教育の機会を設けましょう。

リスクの把握には、国内外における脆弱性への対策情報をまとめたサイトや情報収集ツール、バージョンチェッカーなどが利用できます。

 

ポイント③脆弱性が見つかったときの対応フローを決めておく

ECサイトに脆弱性が見つかった場合の対応フローも決めておくと、その後の流れがスムーズです。

脆弱性が判明したときは、迅速な対処が必要です。システムを管轄する部門の合意が重要なため、事前テストのうえ修正プログラムが適用できるように、対応フローを作成しましょう。

特にECサイトは構築とアップデートの際に脆弱性が見つかりやすい特徴があります。サイトをオリジナルにカスタマイズする際は、新たに脆弱性が発生していないかよく確認し、サイトの構築段階から予防と対応を心掛けていきたいところです。

 

ポイント④クレジットカード番号を非保持化する

2018年6月、消費者庁による改正割賦販売法が施行され、事業者は顧客や会員のクレジットカード情報を非保持化しなければならないと定められました。※

ECサイトなどの販売店は、顧客のクレジットカードの番号情報を保持しない（電磁的に送受信を行わない）対応が義務付けられています。

※参考元：経済産業省商取引監督課「改正割賦販売法について」

ポイント⑤PCI DSSに準拠する

PCI DSSとは、クレジットカードのデータを安全に取り扱うために設けられた国際基準です。

国際カードブランド会社が6社共同で設立した基準で、世界的なEコマースの需要増加にともない、各加盟店がクレジットカード被害を予防し正しくセキュリティ対策を行うために定められています。

改正割賦販売法ではPCI DSS準拠として、外部審査または自己問診によって準拠証明を行います。

 

ポイント⑥不正アクセスの被害を検知するサービスを導入する

不正アクセスを受けた際にその挙動を検知する「IDS」と、遮断を行う「IPS」というシステムがあります。OS・Webサーバーの脆弱性を突く攻撃の防御に有効であり、手動対応よりも迅速かつ自動的な対処が可能です。

IDSやIPSは、ファイアウォールだけで侵入を防止するのが難しい場合に適している方法です。さらに、外部の監視サービスを利用すれば、24時間体制の不正アクセスチェックも可能です。

 

ポイント⑦不正な注文を防ぐサービスを導入する

なりすましによる被害は、ECサイトに多くみられるトラブルです。第三者による不正な注文は、アカウントの所有者やクレジットカードの所有者になりすました状態で行われます。

システムが注文内容を分析したり、サイト内のポイントやアカウントの不正取得を検知したりするサービスを導入することで、これらの被害を予防できます。

顧客の情報を守るためには、第三者の不正侵入を予防するだけではなく、不正注文を防止するサービスの導入も検討しましょう。

 
 

ECサイトで実際に起こったセキュリティのトラブル

ECサイトでは、セキュリティに関するさまざまなトラブル事例が報告されています。

会員情報の漏えい（流失）や、クレジットカード情報の窃取・流出といったトラブル事例について、実際の事例を確認していきましょう。

 

①不正アクセスによる会員情報の流失

婚活アプリを提供するA社が、サーバーに不正アクセスを受けたことで会員情報の一部を漏えいした事例です。

この事例でははじめにサーバーに意図されていない挙動が確認され、点検を行った結果、顧客が提出した年齢確認書類の画像データに不正アクセスの痕跡が見つかりました。

すぐに不正アクセス元のIPを遮断し、ネットワーク制限を強化する対応をとり、外部の専門会社による調査や監視体制の強化を図ることになりました。

 

②脆弱性を利用されたことによるクレジットカード情報の流出

ふるさと納税を募るために特設サイトを開設していたB市で、サイトの脆弱性を利用した「クロスサイトスクリプティング」という手法でふるさと納税を行った顧客のクレジットカード情報が盗まれた事例です。

この事例では数百件のクレジットカード情報が流出したと推測されており、調査を継続しながら保守会社とも協議したうえで、脆弱性への対応や定期的な診断の実施を徹底することになりました。

 
 

ECサイトのセキュリティを突破されたときの対処法

ECサイトのセキュリティが突破された場合、以下の手順で対処を行います。

【セキュリティ突破時の対処法】

• ECサイトの停止
• 社内各所へ連絡
• 関係各所へ連絡
• セキュリティ会社へ連絡
• 再発防止策を講じる
• 再発防止策を公表する

サイトが攻撃されたら、すぐに稼働を止めて外部との通信を遮断します。マルウェアに感染したときは、感染した端末をネットワークから切り離しましょう。

社内のセキュリティ部門などへ連絡し、警察や外部のセキュリティ会社に相談し、緊急事態が発生していることを伝えます。自力で解決しようとせず、専門家の指示を受けてから対処してください。

攻撃を遮断したあとは、すみやかに再発防止策を講じます。ファイアウォールやウイルスソフトの更新、外部のセキュリティ会社との提携や監視強化、監視システムの導入やセキュリティガイドラインに沿った対応を実施します。

顧客への対応としては、発生した事象と対応をすみやかに公表してください。どのような対応策を講じたかについて、顧客だけではなくメディアにも公表しましょう。

 
 

ECサイト運営にはセキュリティ対策が重要

今回は、ECサイト運営で欠かせないセキュリティ対策について、対策が重要とされる理由や実際のトラブル事例、対応策を紹介しました。

ECサイトは金銭や個人情報にかかわるやり取りが多く発生するため、不正アクセスの予防は継続的に行う必要があります。最新のサイバー攻撃の手口や事例を確認し、サイトの運営者や管理者への教育・周知を徹底することが大切です。

セキュリティ対策が不安な場合は専門の会社に相談し、自社の運営に合う方法で対策を施しましょう。

 
PCI DSS Ready Cloudではクレジットカードセキュリティ対策を提供しており、PCI DSSへの対応も低コストで可能です。AWS環境でPCI DSSへ対応する方法がわからずにいる方はぜひご相談ください。

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。

PCI DSSのクラウドサービスならPCI DSS Ready Cloud

ぜひ、ご相談ください。