ECサイトのセキュリティ対策は？トラブルから対処法まで解説！！（1/2）

ECサイトを運営していくうえで重要なポイントの一つがセキュリティ対策です。情報漏えいなどのセキュリティインシデントは近年頻繁に起こっており、2023年3月には独立行政法人情報処理推進機構（IPA）がECサイトを構築・運用する中小企業向けに「ECサイト構築・運用セキュリティガイドプラン」を公開しています。今回はそんなECサイトのセキュリティ対策について、対策すべき理由やあり得るトラブル、対処法までまとめて紹介します。

ECサイトのセキュリティ対策はなぜ必要なのか？

ECサイトにとってセキュリティ対策はしっかりとコストをかけて取り組むべきことです。ECサイトは顧客の個人情報やクレジットカードといった重要な情報を扱うため、犯罪者から狙われやすくなっています。セキュリティ対策をしっかりしていないと、不正アクセスにより顧客の個人情報やクレジットカードなどの情報漏えいにつながるリスクがあります。

不正アクセスとは、アクセス権限を持たない個人や組織がサーバや情報システムの内部へ侵入する行為を指します。不正アクセスした者は個人情報やクレジットカード情報を奪ったり、データを改ざんしたり、システムを破壊したりとECサイトに悪影響を与えます。さらにサーバがダウンし、ECサイトが営業できなくなる可能性もあります。ECサイトが稼働しないと売上がたたず、企業は大きなダメージを受けることになりますよね。

さらにセキュリティインシデントは企業の信用・信頼が失われ、顧客離れ、ひいては売上の減少につながることになりかねません。このため、コストはかかりますがセキュリティ対策はしっかりしておく必要があるのです。

「そうはいってもセキュリティインシデントなんてめったに起きないのでは？」と思う人もいるかもしれません。ところが、IPAによれば2022年7月から12月の半年で企業から28件以上の不正アクセスの届け出があったとのこと。また、最近被害を受けた20社を対象にした調査で、1社あたりの顧客情報の平均漏えい件数は約3800件、うち19社を対象に自己対応費用の平均額は1社あたり2400万円にのぼったというデータもあります。

加えて2022年3月に個人情報保護委員会がまとめた「ECサイトへの不正アクセスに関する実態調査」によれば、ECサイトの閉鎖期間における売上高の平均損失額は1社あたり約5700万円！ 従業員500名以下の44社の平均ですが、それにしてもかなりの額になっています。

なお、IPAによれば最近被害を受けたECサイト20社の75％が、オープンソースソフトウェアを主とするEC構築パッケージやCMSの脆弱性を悪用されたことが原因で被害にあっています。また、90％がECサイトの自社による保守、または外部委託先との運用時のセキュリティ対策を実施していませんでした。実施していない理由としては「運営でセキュリティ対策の必要性を認識している人がいなかった」との回答が45％を占めており、セキュリティ対策の重要性をしっかり理解して対処する必要性が改めて浮き彫りになった調査と言えるでしょう。

不正アクセスにはどんなものがある？

不正アクセスについてはさまざまな手口がありますが、代表的なものは以下の4つです。

①フィッシング

正規のECサイトや決済画面などにそっくりの偽サイトや、偽サイトに誘導するための電子メールを作成し、ユーザをだまして個人情報やクレジットカード情報を記入させ、情報を盗む方法です。本物と見分けがつきにくいことから消費者が誤認した被害が多発しています。自分のECサイトがフィッシングで利用されていることが判明した場合は、ユーザに注意を促し被害を抑えるようにしましょう。

②マルウェアに感染させる

マルウェア（Malware）とは、不正かつ有害な動作をさせるために作成された、悪意のあるソフトウェアや悪質なコードの総称です。ウイルスやワーム、トロイの木馬やスパイウェアなどがこちらに当たります。特にトロイの木馬は有名で、無害なソフトウェアのふりをしてコンピュータなどの端末に侵入し、秘密裏に攻撃者が意図する不正な操作をおこなったり、個人情報を盗み出したりします。また、パソコンなどの感染した端末内の内部情報を外部に勝手に送信するスパイウェアにも注意が必要です。

③DoSやDDoS攻撃

ECサイトやサーバに大量の情報を送り付け、サイトにアクセスしづらくしたり、サーバーダウンさせたりする攻撃です。DoS（Denial of Service Attack）は1つのIPで実施しますが、DDoS（Distributed Denial of Service Attack）は分散型、つまり複数のIPでサーバが対処できないほどの情報を送りつける、DoS sの進化版です。DoSは事前に同じIPからのアクセス回数を制限するなどの対策が取れますが、DDoSは他社のPCなどを乗っ取り複数のIPから情報を送るので犯人を割り出しにくくなります。

④ECサイトの改ざん

ECサイトの脆弱性をつく、もしくは管理者アカウントを乗っ取って不正にサイトの内容を改ざんするもの。IPAによればクロスサイト・スクリプティングと呼ばれる、記述言語であるHTMLに悪質なスクリプトを埋め込む攻撃が最も多く、脆弱性に関する届出の半数以上を占めています。クロスサイト・スクリプティングの結果、いきなりポップアップが出てきて個人情報の入力を求められ、入力などをした結果マルウェア感染や情報漏えいなどの被害にあった事例が報告されています。
次に多いのはSQLインジェクションで、不正にデータベースを操作する命令文「SQL」をデータベースに注入する攻撃です。外部からデータベースを操作し、その情報の閲覧・取得や改ざんなどが可能になります。

ECサイトはどんな被害にあうの？

こうした不正アクセスでECサイトが合う被害は主に2つです。いずれも企業として金銭的な意味ばかりでなく信用・信頼が失われ、影響が長期化する傾向にあります。

1.情報漏えい

ECサイトのセキュリティインシデントでよく報告されるのが、個人情報やクレジットカード情報の漏えいです。多くの原因は不正アクセスですが、そのほかヒューマンエラーによる誤送信や御廃棄、紛失、盗難などがあげられます。
個人情報の流出やクレジットカードの情報漏えいは企業にとって大きな問題です。企業は情報を漏らした個人に対し補償として賠償金を支払う必要が生じますが、情報流出はまとまった数で発生することが多いため、賠償額は莫大なものになりがち。さらに原因調査等の自己対応費用が発生し、時にはサイトをリニューアルする必要が…こうした経済的損失は企業の経営に大きな影響を及ぼす可能性があります。

2．ECサイトの改ざん

悪意のある第3者が勝手にECサイトを改ざんすることがあります。ウェブページのコンテンツを書き換えて詐欺サイトに誘導したり、個人情報を抜き取ったり、マルウェアを感染させるために埋め込んだりといった行為です。
ECサイトが改ざんされた場合、企業はまずECサイトを一時的に閉鎖して対応する必要があります。また、ユーザの情報が抜き取られるなどの被害にあった場合は損害賠償を支払う事態に陥る場合もあります。

ECサイトのセキュリティ対策、必要なことは？

では、ECサイトのセキュリティ対策をおこなうにあたり、必要なことは何でしょうか？