必須・必読のECサイトのセキュリティの基本を解説〜手口と対策
2020.11.09
セキュリティ的な事象に関わる問題がECサイトの運営中に発生すると、ECサイトだけでなく、運営母体となる企業の経済活動へも大きく影響します。しかも発生するのは概ねネガティブなことでプラスになることはありません。
ここではそうした問題に対処するためにも、サイバー攻撃の手口と、そうした攻撃やトラブルからECサイトを防衛するための対策、また、そうした施策の重要性を解説します。
CONTENS
サイトを狙う手口とその後のやり口
ECサイトにはたくさんの情報が集まっています。ユーザーの購入に関わる情報には住所や連絡先、決済情報なども含まれます。また、個人情報という場合、サイトでいつ購入したのかということ、つまり購入履歴も個人情報という範疇に含まれていることを考慮しなければいけません。
もし、そうした情報が悪意ある第三者の手に渡れば大変なことになります。また、嫌がらせの標的になればサイトが表示されなくなることで販売機会を失ったり、何も知らないユーザーが危機的な状況に追い込まれるといったことさえ起こるかもしれません。
セキュリティ対策は「安心、安全にサイトを利用してもらう」というだけでなくそもそもも「通常のサイト運営をすること」にとってとても重要です。
対策を考えるその第一歩として、まずどういった手口があるのかを知っておく必要があります。まずは傾向を知るために主なその手口と内容を紹介します。
侵入する方法は管理用IDとパスワードを取得する
ECサイトの管理者がログインするためのページから侵入する方法です。これは一般的には「不正アクセス」とよばれる手段で言うなれば正面玄関から合鍵を使って入ってくる泥棒のやり口です。
フィッシング詐欺という言葉がありますが、これが今は主流です。メールを送って本物とよく似たページを偽装し、IDとPWを入力させ、その情報を奪い取るやり方です。
ECサイトの場合は、ASPベンダーやサーバーのベンダーを装った迷惑メールから始まる可能性があります。最近はURLも偽装するパターンがあり、メールでのリンク誘導には本当に注意が必要になってしまいました。
困った問題としては、事業者だけでなく一度、ECサイトを利用したことのあるユーザーに対して仕掛けられることもあるという点にもあります。例えば悪質なメールを受け取って、何かのリンクをクリックし、IDやPWを入力してしまった、いわゆるフィッシング詐欺に引っかかってしまったユーザーへの救済対策とまではいいませんが、再発を防止するための対策などが必要になることもあります。
こうしたフィッシングサイトへの誘導メールは宣伝メールなどを装います。そのため正当な宣伝活動を疎外することになるため非常に厄介です。
もちろん管理者用のIDとPWを入手して侵入された場合、ECサイト内のほぼ全ての情報にアクセスできるだけでなく、サイトの内容を改竄することができます。不正なスクリプトを設置したり、サイトのリンクなどを書き換えることで、訪問したユーザーをウイルスの仕込まれたサイトに誘導するといったことも行えます。
サイトの構造の脆弱性を狙う
WEBの技術は日々進歩しています。その理由はいくつかあります。何のための進歩かといえば、もちろん、より便利になるためですが、他にもより安全にインターネットの世界を継続していくためという目的もあります。
今あるサイトの技術を上回って、その弱点をついて外部から侵入するという方法もサイト侵入の主な手口の一つです。これはたとえるなら家の弱い部分から侵入してくる方法です。例えば窓ガラスであれば打ち破ることは容易です。また力があれば壁を打ち抜いてくるといった可能性もあります。
こうしたことはインターネットでも同様です。利用しているオープンソースを含めたパッケージなどの脆弱性を分析して侵入してくることがあります。実際にEC-CUBEの旧バージョンを狙ったクラッキングが発生して問題になったこともありました。
またWordPressについても脆弱性が狙われて多くのサイトが不正侵入を許し、乗っ取られてしまい、サイト改竄が問題になったことも記憶に新しく、完全に解決した問題ではありません。
脆弱性を狙われる場合は、単純にセキュリティのアップデートを怠っているという理由だけではありません。より高い技術を持った人物が悪意を持って取り組んでいる可能性もあるため、完全に排除することは難しいといえます。
そのため、導入時からリスクの少ない方法を選択するということも考慮せざるを得ません。
サーバーへの攻撃
サーバーへの攻撃は、最も発生の可能性を想像しやすく、また困った問題です。サーバーへの侵入という手段でも攻撃は行われ、侵入方法はWEBサイトを狙う場合と同様で、IDやPWを不正に盗み出すか、脆弱性を狙うというものです。
もう一つは、アクセスを集中させ、物理的に負荷をかけ、その処理能力を奪ったり、ダウンさせたりするという方法です。サイトを閲覧する場合、それぞれのコンピューターはサーバーへ情報を送るようにリクエストを出し、それに対してサーバーが情報を送信します。一気に大量のリクエストを受け取ることでサーバーの処理能力がパンクしダウンします。
サーバーがダウンすれば、ECサイトであれば、ダウン中はサイト閲覧がされないことになります。その結果、直接的に売上を失います。
問題は、サーバーの攻撃自体は標的を決めれば行うこと自体を止めることはできないということです。
コンピューターへの侵入がきっかけになることも
セキュリティの甘い状態、あるいは認識の甘い状態で使用したPCなどのWEB端末が、コンピューターウイルスに侵入を許し、監視されたり、情報を抜かれるなどがきっかけとなることもありえます。
そのまま、その端末でECサイトの管理などを行った結果、不正にIDやPWを盗まれてしまいます。最近ではリモートワークでの作業も増えてきました。そのため、関係者の一人一人がしっかりと認識を持って行動をとることも大事なことです。
正式にはハッキングではなくクラッキング
ところでこうしたコンピューターを使った犯罪は正式にはクラッキングと呼びます。日本ではハッキングという言葉が流行していますが、ハッキングは、単純にプログラムを書いたり、上書きすることを指しています。そのため、ハッカーはサイバー犯罪者のことではなく、プログラムを書ける人のことを指す言葉です。
混同を避けるためサイバー犯罪を行う人物をクラッカー、そうではない技術者をあえてホワイトハッカーと呼ぶことがあります。
起こる被害は甚大
サーバーへの攻撃については前述した通りですが、実際に、サイトに侵入されたり、その結果で情報漏洩を起こすとその被害は甚大です。
そのため、セキュリティ対策を「とりあえず今は大丈夫」と後回しにすることは大変にリスクのある行為であるということはまずしっかりと認識し、常に覚えておきましょう。
直接、経済的ダメージが発生する
サイバー攻撃やその他の事情でECサイトを利用した顧客の個人情報漏洩などが起こると、損害賠償請求されたり、補償などを行うことになるケースがあります。
そうした場合、情報漏洩してしまったユーザーの数にもよりますが、1人あたり、5000〜15000円程度の費用負担が発生する可能性があります。また、ユーザーへの補償だけではなく、コールセンターの設置や調査などにも費用が発生します。
社会的信用の失墜とECサイトへの不信感
理由の如何に関わらず、情報漏洩は社会的な信用を失います。これはECサイトとしてだけでなく、企業体そのものの信用を失うということに他なりません。
こうした事象が発生した場合の情報の展開速度や対策の状況を世間は敏感に見ています。もし、そうした対応が後手に回る評判を落とし、ECサイト以外の経済活動にもブレーキがかかる可能性があります。
現状を技術的に回復した後も影響が残ることは避けられません。一度事件や事故を起こすと安全とわかっていてもどこかに「また起こるのではないか」と多くの人が疑心暗鬼になります。信用を取り戻すことは不可能ではありませんが、困難な道のりであることは間違いありません。
セキュリティの対策案の第一はスタッフ教育
こうした事態に陥らないためにもセキュリティの対策は非常に重要なことはご理解いただけたかと思います。その上で、対策を行う箇所は主に三箇所です。それは
- サイトのデータ
- サーバー
- サイトの運営担当者
その中でもまずもっとも重要なのは何かと問われた場合、自分であれば「人」と回答します。管理者のログインページへのアクセスとID、PWの管理、そしてセキュリティ意識の向上が重要な理由は、まさにそうした人間の行動に弱点があるからです。
また、他の二つは技術的な壁があり、運営担当者の技量の範疇を超えてしまう可能性のある領域です。しかし、人間への対策は、しっかりと行うことで、少なくとも人為的な情報漏洩は確実に防ぐことができます。また、セキュリティへの意識があれば、アップデートを怠ったりはしないはずです。
つまりシステムと同様に人間自体もセキュリティ情報のアップデートを行うことが重要です。また、実際に情報漏洩の要因の多くは人為的なものといわれています。
実際に2018年に起きた情報漏洩の要因の7割は内部の人為的なことが原因になっていました。多くは端末の置き忘れなどのミスです。
こうしたことが起こる背景には、IT的な知識教育だけでは足りていないということがあります。実際に電車内で重要資料と思われるファイルをノートPCで開いている様子が、覗き見をする気がなくても見えてくることは、日常の中でよく見かける光景です。
多くの企業はITの技術的なことだけでなく、取り扱いやマナー、行動様式としても、安全な運営とは何かを今一度、運営担当だけでなく社内全体で考えた方が良いのではないでしょうか。
そもそも、忘れ物などを絶対になくすことはできません。人間はミスをし、忘却するからです。これは仕事ができるなどという次元とは異なる話です。むしろ、管理画面にアクセスできる環境を自社の中にとどめるべきでしょう。持ち出せる環境にあるということを止めるべきです。
もちろん、サイトのデータやサーバーへの対策も重要です。基本的にはアップデートをしっかり行い、対策をしてください。
用途に合わせて、セキュリティ対策を行い、脆弱性があるのであれば、どういった対策をする必要があるのか、技術的なポイントについて積極的な対応をしていくことも重要です。
また、リスクの高い情報を最初から保持しないという姿勢も重要です。例えば、クレジットカード情報などはECサイト内で保持せず、別の方法が取られることが一般的になってきています。
【参考】ECサイトでのクレジットカード情報の非保持は情報漏洩対策の基本
運営担当者は永遠に意識しなければいけない課題
また、もう一つ、覚えておかなければいけないことは「セキュリティ対策にゴールはない」ということです。技術の進歩に合わせて常に対策が求められるだけでなく、今までにあったような手法がクラッキングの全てではないということです。
もし、悪意を持った高いIT技術者が狙いを定めれば、思いも掛けない箇所が脆弱性となる可能性もあります。そういった場合に狙われた場合、できる限りのことをやっていた場合はもしかしたら「運が悪かった」ということかもしれません。しかし、そうした場合にもセキュリティへの意識があるかないかでその後の対策の速度などは変わってくるのではないでしょうか。
セキュリティに関しては時には思い切った決断を迫られるかもしれません。しかし、こうしたリスクを知っていれば、素早く被害を最小限に食い止める対策も打てるでしょう。
セキュリティについてはユーザーと会社、両方を守るためのものです。運営担当者は永遠に意識をしておかなければいけない重要な課題なのです。
もし、そうしたことも含めてしっかりとサイトを構築、あるいは運営していきたいという場合は、やみくもに自社で解決しようとせず、ある程度のタイミングでしっかえりと施工できる専門家に依頼したほうが安全性は高まります。もちろん、WEB制作会社も千差万別です。しっかりと信頼関係を気付ける企業と、一緒にECサイトをつくっていくということが重要なのはいうまでもありません。