ECサイト運営をおこなううえで、非常に重要となるのがセキュリティ対策。
セキュリティ面で弱点があると、その部分からサイバー攻撃を受けて個人情報を流出したり、利用者にウイルスをばら撒く加害者にもなり得ます。
こういった最悪の事態を招かないために、いますぐ対策をおこないましょう!
なぜECサイトにセキュリティが重要?
たしかに、どのようなサイトもセキュリティ対策は重要です。しかし、ECサイトでのセキュリティが特別重要といえるのは、つぎのような理由が挙げられます。
ハッキングは入力フォームから
ハッキングはサイト内のログインフォーム、お問い合わせフォームなど、情報を入力して送信する部分でおこなわれやすいです。
情報を入力するフォーム部分がなければ情報を覗き見ようがないですが、ECサイトといえば「会員登録」「お問い合わせ」「購入」といった情報をやり取りするフォームがあって当然。このため、セキュリティリスクがあるといえます。
個人情報をやり取りするため
サイトでは、氏名や住所といった個人情報はもちろんのこと、購入の際に使用するクレジットカード情報といった重要な顧客情報も扱うことでしょう。
住所や電話番号といった情報が漏えいすれば、名簿業者(個人情報を売買する業者)が名簿として販売し、それを購入した業者がダイレクトメールを送りつけたり、詐欺行為に使用する可能性も考えられます。
金銭をやり取りするため
上記でも触れましたが、クレジットカード番号・セキュリティコードといった情報が漏えいすれば、カードを悪用される危険性もあります。
また、サイトの脆弱性によっては販売商品の価格改ざんができてしまう場合もあるのです。そうなれば、商品の値段を書き換えられて大きな損失につながりかねません。賠償をしたとしても、顧客からの信用も失墜してしまう可能性が考えられます。
ECサイトでの個人情報漏えい事例
これまでに、数多くのECサイトでサイバー攻撃・個人情報漏えい事故が発生しています。過去の事例をご紹介します。
大手企業におけるECサイトの被害事例
大手企業が運営するオンラインショップで起こった、実際のサイバー攻撃被害が以下のとおりです。
2013年3月「JINS」
2059人分のクレジットカード情報が流出、うち20件で不正利用が見つかる。
2013年4月「セブンネットショッピング」
クレジットカード番号・有効期限を含む情報など15万165件が閲覧された疑い。
2014年8月「無印良品ネットストア」
2万957件の不正ログインが発生。第三者により個人情報が閲覧された可能性。
2015年7月「タミヤオンラインショップ」
会員のID・パスワードや住所といった個人情報が、10.7万件流出した疑い。
2016年3月「グリコネットショップ」
不正アクセスが発生し、最大8万3194件の顧客情報が流出した疑い。クレジットカードの悪用も。
中小企業・店舗なら狙われない?
ニュースでは大手企業での被害事例ばかりが取り上げられますが、中小企業は攻撃されないのではありません。あまり注目されないのは、つぎのような理由があります。
- サイバー攻撃の発生を公表する義務はないから
- 気づいていない場合があるから
実はサイバー攻撃の60%が中小企業狙い
このように明るみにならない中小企業のサイバー攻撃ですが、じつは大手企業よりも狙われているといわれます。
それはもちろん、「セキュリティが甘い」から。大手企業しか狙われないと安心している中小企業は非常に多く、「サイトのセキュリティなんて考えたこともない」というところもあります。
ハッカーがサイバー攻撃に利用するツールは「巡回プログラム」といって、24時間体制でセキュリティに問題があるサイトを検索し、見つけ次第無差別に攻撃をおこないます。このため、セキュリティに問題があるまま放置していると、いつか攻撃を受けてしまうのです。
ECサイトに実行される危険のあるサイバー攻撃とは?
過去に、ECサイトをターゲットとしたサイバー攻撃で使われた手口はつぎのようなものです。どの攻撃も、大きな損害を及ぼす可能性があります。
不正ログイン
管理ページへの不正なログインを含め、利用者をよそおったなりすましが考えられます。ログインの手法としては、ID・パスワードがたまたま当たってログインできる場合から、業者により売買されていたデータを購入することもあります。
不正ログインの目的は、基本的に個人情報を盗み出すためです。そのため、つぎのような行為がおこなわれる可能性が高くなります。
個人情報の売却
氏名や住所、メールアドレスなどの個人情報が閲覧されると、個人情報を売買する業者にデータが売り渡されることがあります。そうなると「名簿」という商品となって、さらに多くの業者間で取引され、拡散されます。
クレジットカード悪用
クレジットカード番号・暗証番号などの情報が漏えいすると、不正に買い物などで悪用されるというケースが考えられます。不審な買い物が多発すると、クレジットカード会社から通告を受ける場合もあります。
フィッシング詐欺
セキュリティが甘いと、サイト内の入力フォームといったページをそのまま別サイト(ニセサイト)に移植できてしまいます。この移植した部分を悪用したフィッシング詐欺の事例があります。
見た目が同じこのニセサイトのURLを、実際のECサイト利用者になりすましメールで拡散。IDやパスワードを入力させてそれを盗み、不正ログインや個人情報の売買に悪用します。
価格の改ざん
クロスサイトリクエストフォージェリという攻撃がおこなわれると、サイト内の商品の価格を改ざんされてしまう場合があります。
価格改ざんをされれば、高額商品が不適切な金額で大量購入されるなどの被害が考えられます。すぐ気づけばまだよいですが、気づかずに放置していると、取り返しのつかない大被害になってしまうでしょう。
ECサイトに求められるセキュリティ対策5つ
大手企業であればもちろんのこと、中小企業や店舗のECサイトでも、セキュリティ対策は必須です。つぎのような対処をおこなってください。
SSLを導入する
SSLとは情報の送受信をおこなう際に暗号化するシステムです。SSLを導入しているサイトは、URLの先頭が「http://」ではなく「https://」になります。これを利用すると、顧客情報が送受信される際にハッカーなどの攻撃者からの盗み見を防ぐことができます。
導入方法としては、利用中のレンタルサーバーで説明があればそのとおりに実行するか、SSL導入サービスなどを利用するとよいでしょう。
管理ページにアクセス制限をおこなう
まず、管理ページのID・パスワードは推測されにくく複雑なものを設定しましょう。英数字の混合、8文字以上が望ましいといわれます。可能であれば、大文字・小文字や記号を混ぜてください。
さらに、管理ページに第三者がアクセスできないよう、アクセスできるIPを制限するなどの方法があります。この部分は、サイト製作会社や利用しているサービスなどに確認するとよいでしょう。
使用しているソフトは最新バージョンに
サイトの構成で使っているソフトやOSなどは、最新版を利用するようにしましょう。いつまでも古いバージョンを使っていると、そのバージョンの脆弱性を狙った攻撃が仕掛けられる可能性があるためです。
また、使用しているOSやバージョン情報も公開されないように注意してください。Wordpressなどで、最初にインストールされるRead me(バージョン情報が記載されている)などのデータをそのまま表示する設定にしていてはなりません。
重要ファイルを公開状態にしない
なかには、パスワードなどを保存した重要なファイルを、サーバーにアップしているケースもあります。たとえリンクを設置していなくても、フォルダ名がpasswordなどであれば、アドレスバーにURL/passwordと入力するだけで中身が見えてしまいます。
このような重要なデータは第三者から見えないようにしておいてください。
セキュリティ調査の実施
セキュリティ調査・診断といったサービスを利用し、脆弱性の有無やセキュリティの問題点を調べるとよいでしょう。診断結果から対処方法を考えることができます。
ご紹介した3点は、基本的な部分です。よりセキュリティレベルを高めるには、サイト制作会社やセキュリティ会社に相談することをおすすめします。
定期的なサイトの点検も重要!
定期的にセキュリティ診断を実施するのもよいですが、自分でも確認できるような部分は定期的にチェックしてみてください。
ログイン履歴の確認
管理ページのログイン履歴が確認できるのであれば、覚えのない場所・IPアドレスでログインされた形跡がないかを確認しましょう。覚えのない履歴があれば、パスワードを変更して、どこか不正に操作された部分がないか確認してください。
覚えのないスクリプトタグが入っていないか?
不正ログインされるとサイトを構成するデータに、不正なタグ(文字列)を組み込まれてしまう可能性があります。使用しているソフト・サービスと無関係なタグが入っていないか見てみてください。
もし見つかった場合は、その部分の記述を削除し、不正アクセスの履歴がないか調査のうえでパスワード変更などをおこなう必要があります。
サイト管理をおこなう管理者にもルールを!
ECサイトを管理する人は、日ごろから「重要な顧客情報を預かっている」という意識を持たなくてはなりません。そのため、つぎのようなことを守ってください。
管理者の勉強・教育は重要
管理パスワードをカンタンなものにしないとか、管理用の社内パソコン・USBなどのデータを社外に持ち出さない、といった明確なルールを社内で設定・厳守する必要があります。
また、管理ページにログインできるのは限られた管理者のみにするなど、社内の誰でも自由にログインできなくすることも必要になるかもしれません。
管理者が退職する際も注意
ECサイトの管理をおこなっていた人物が退社する際は、所持していたサイト管理データをすべて返却させ、パスワードを変更するなどの手続きが必要です。
実際、過去に「退職した社員が、そのままになっていたパスワードで不正アクセス、情報を盗む」という事件が発生しています。この人に限ってそんなことはしないだろう、とは考えず、誰に対しても同様に対処しなくてはなりません。
ECサイト構築サービスは信用できない?
ネット上には、ECサイトを立ち上げるためのサービスがいくつか公開されています。しかし、なかにはサイバー攻撃に関わる大きな脆弱性を抱えたサービスも存在しているのです。
サービス自体に大きな脆弱性があれば、どれだけセキュリティ対策を施しても、その部分からサイバー攻撃を受けてしまう可能性が高くなります。ECサイト構築サービスを利用する場合は、よく比較検討する必要があるといえるでしょう。
利用したい、もしくは利用しているECサイト構築サービスに大きな脆弱性がないかは、以下のサイトで検索することができます。
JVN 脆弱性情報データベース
»https://jvn.jp/
たいていのソフトには脆弱性がつきものですが、危険度の高い脆弱性をそのまま放置しているようなサービスの利用は避けましょう。すでに利用しているサービスに大きな問題があれば、乗り換えを検討したほうがよいです。
まとめ
企業紹介だけの一般的なコーポレートサイトでも、サイトの乗っ取りや不正アクセスといったサイバー攻撃が起これば大問題です。その点、ECサイトは顧客情報を多数扱い、さらに金銭もやり取りします。
こういったサイトでサイバー攻撃が発生すれば、さらに大きな被害となってしまいます。サービス復旧対応はもちろん、顧客への賠償をおこなわなくてはなりませんし、信用が失墜すれば大幅な売上減も免れません。
最悪の事態を回避するために、日ごろから適切なセキュリティ対策をおこなっておいてください。
