経済産業省が2020年7月に公表したEC市場調査レポート「令和元年度内外一体の経済成長戦略構築にかかる国際経済調査事業(電子商取引に関する市場調査)」によれば、2019年のBtoC-EC(消費者向け電子商取引)が年間10兆円を超えました。国内のEC市場は成長を続けており、市場規模は過去5年で約1.5倍に拡大しています。また、新型コロナウイルス感染拡大の影響もあり、EC事業への新規参入や、ECの本格展開に乗り出す企業が、今後さらに増加すると見られています。そんな中、急成長するECサイトはサイバー攻撃の格好のターゲットにもなり得ることは予測できますし、実際に新たなセキュリティリスクが登場しています。今回はECサイト運営が狙われるサイバー攻撃のリスクについて解説していきたいと思います。
急成長を遂げるEC市場
総務省の『令和元年度電子商取引に関する市場調査』によると、2019年の日本国内の BtoC-EC市場規模は、19.4 兆円(前年 18.0 兆円、前年比 7.65%増)に拡大しています。また、同年の日本国内のBtoB-EC(企業間電子商取引)市場規模は353.0兆円(前年344.2兆円、前年比2.5%増)に拡大しています。インターネット利用者(個人)のうち、インターネットの使い道として「商品・サービスの購入・取引」を行っていると答えた消費者の割合は2019年時点で55.8%となり、ネット利用者の5割以上がECを利用している実態があきらかになっています。EC市場は今、急速に成長を遂げつつある分野で多くの企業が参入を試みています。
引用:
皮肉なことにコロナ禍が成長の追い風に
2020年は新型コロナウイルスの蔓延が世界中を震撼させました。感染防止のための外出自粛、商業施設や店舗への休業要請、各種イベントの中止などにより経済は大打撃を受けることになりました。しかし、EC業界に限っていえば、皮肉にもコロナ禍は成長の追い風となりました。まず店を開けられない小売店・飲食店のEC化が一気に加速しました。加えて、外に出られない・出かけても店がやっていないという状況の中で、買い物する手段としてネットショップを利用する消費者が増えたのです。ある調査では、10~20代の女性を中心に最近のECの利用状況を尋ねたところ、半数以上が以前に比べて利用する機会が増えたと回答しました。波に乗るEC業界への参入を考える企業も多いでしょうが、それに伴うリスク管理もきちんと考慮しなければ後々大きな損失を被ることになってしまいます。
ECサイトを狙うサイバー攻撃とは?
Webスキミング
Webスキミングとは、ECサイト上に不正なコードを挿入して、入力された決済情報を窃取する攻撃です。海外では、スポーツ用品メーカーFILA UK社や雑誌Forbesの購読サイト等が攻撃を受けており、日本でも複数のECサイトがこの攻撃を受けています。
Webスキミングの攻撃手法
- 管理画面等へ総当たり攻撃を行ってID/PWを推測したり、脆弱性スキャンを行って改ざん可能な脆弱性を把握したりする
- 1.の情報を用いて、不正ログインしたり、Webコンテンツを改ざんしたりして、決済画面などにWebスキミング用の不正なコードを挿入する
- ユーザがECサイトで決済情報を入力すると、攻撃者のサーバへ決済情報が送信される
そのためカード情報を自社で保持する場合には、PCI DSS準拠義務化などの高レベルのセキュリティ対策が必要となる等、日本でも法改正が行われました。「割賦販売法の一部を改正する法律」(改正割賦販売法)が2018年6月に施行され、クレジットカード情報を取り扱う法人に対して情報の適切な管理などの措置をとることが義務付けられました。この対処によって、攻撃者がECサイトを直接攻撃し、ECサイトのデータベースから一括してカード情報を入手するなどの旧来の攻撃手法は不可能になりました。しかし、カード情報を窃取される事件はいまだに無くなっておらず、最近では国内大手家電量販店のオンラインショップや、イギリス大手の航空会社、アメリカ・カナダの大学オンラインストアなど、数多くのカード情報の漏洩事件が報道されています。まず自社がカード情報を保持する場合、PCI DSS準拠しているかきちんとチェックしましょう。
DDoS攻撃
DDoS攻撃とは「Distributed Denial of Service attack」の略称であり、DoS攻撃の類型として分類されます。たくさんのパソコンから一斉にDoS攻撃を行うものであり、様々な攻撃手法によってサーバやパソコンが被害を受けることになります。例えば、何らかの方法でマルウェアに感染させたパソコンを持ち主の意図とは関係なくリモートで操作・悪用し、それらを何台も連ねることでサーバやシステムをダウンさせ、一般のユーザーが利用できない状況を作りだします。
DDoS攻撃を受けるとオンラインサービスを止めてしまいます。オンラインショッピングのECサイトはDDoS攻撃の最大のターゲットであり、ビジネス向けのサイトやアプリケーションを提供するサービスプロバイダーも同様です。
やっかいな偽サイト
さらに、本物そっくりな偽サイトにだまされてしまうケースもあり、「見たことのある有名サイトだから大丈夫」といった先入観から、少々の怪しさを感じても入金してしまい、被害に遭うケースが発生しています。そういった偽サイトは、本物のサイトのレイアウトはもちろん、ロゴや画像から文章までそっくりコピーして使っているのが特徴です。もちろん、何の断りもなく勝手に写真などを使っているのですが、現在のところこうした無断使用を防ぐ方法はありません。
偽サイトが本物のサイトと違うのは、インターネット上の住所である「URL」などごく一部で、そのURLも1文字だけ違うといった紛らわしいものが使われています。そのため、パッと見て偽サイトであることに気がつく人はほとんどいないでしょう。 こうした偽サイトは金銭詐欺やIDやパスワードの不正取得、コンピュータへの攻撃などを目的として作られており、近年、被害が急増していますので注意が必要です。
ECサイトのセキュリティを守るWAF
ECサイトを襲うサイバー攻撃への対策の方法としては、次のようなものが一般的に上げられます。
- 適切なアップデート
サイバー攻撃はECサイトの脆弱性を主な攻撃目標にします。クラウドECやASPでは、脆弱性を解消するアップデートが開発元によって随時行われていますが、ソースコードや脆弱性情報が公表されるオープンソースは、特に適切なバージョンアップデートによるセキュリティ対策が必須です。
- クレジットカード決済システムの整備
ECサイトで特に注意しなければならないのが、クレジットカード情報の取り扱いです。現在、ECサイトを含めたクレジットカードを扱う加盟店には、カード情報の管理や不正使用対策が義務付けられているため、「クレジットカード情報の非保持化」または「PCIDSSに準拠」どちらかの対策をとる必要があります。
- セキュリティ対策用のシステム導入
サイバー攻撃からシステムを守るには、ウイルス対策ソフトや不正アクセスを検知するシステム、ファイヤーウォールと呼ばれる外部からの不正アクセスを防止するシステムなどを導入するのが有効な手段となります。
しかしデータ漏えいを防ぐために導入されたファイアウォールやIPSなどは、DDoS攻撃を緩和するにはそれほど効果がありません。これらのセキュリティ製品は、階層化された防御戦略に位置付けられており、データの機密性と完全性を保護する役割を果たしています。しかし、それらの製品はDDoS攻撃の根本的な問題であるネットワークの可用性には対処できていないのです。
- WAFの導入
こうした攻撃への防御にはWAFが有効です。WAFは企業ホームページへのアクセスを常にリアルタイムで監視します。SQLインジェクションやクロスサイトスクリプティングを仕掛けるような動きを攻撃者が試みると「これはサイバー攻撃の可能性が高い」とWAFが自動的に判断し、通信を遮断してくれます。サイバー攻撃から自社のホームページを守るためには、できるだけ早めにWAFを導入することで、高度に進化するサイバー攻撃から自社と自社の顧客を守ることにつながります。
