こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
個人情報保護委員会は3月17日、「ECサイトへの不正アクセスに関する実態調査」を公開した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】不正アクセスの被害を受けたECサイトについての調査結果が発表されています。モール型ECサイトや外部委託で開発した自社ECサイトのセキュリティで気を付けるべきポイントについて説明します。
今回の調査は、個人情報の漏えい等の報告を提出したECサイト運営事業者の不正アクセス被害に関して、原因、再発防止策、損失について、調査結果を取りまとめたものです。不正アクセスの直接的な原因として、決済画面の改ざんを引き起こす脆弱性が37%、SQLインジェクション脆弱性が31%と、ECサイト脆弱性に対する不正アクセスが多くを占めています。なお、ヒューマンエラーによるECサイトの管理者画面へのアクセス制限不備が15%となっています。
不正アクセスの発生理由として、脆弱性についての理解不足が66%、技術的ノウハウの不足が59%と、情報セキュリティに関する知識面での不足を挙げる事業者が多くみられました。不正アクセスによる損失として、約8割の事業者でECサイトを停止し、その期間として、半年以上1年未満の回答が最多となりました。具体的な損失金額は、1,000万円以上の損失が発生したと回答した事業者が4割以上あり、数億円の損失が発生した事業者もみられたということです。
不正アクセスを受けた後に、フォレンジック調査等を外部に委託した場合の費用としては、200~249万円が特に多い結果となりました。また、不正アクセスを受けて、93%の事業者でクレジットカード情報の漏えいが発生し、カード差し替えの手数料も大半の事業者が負担しており、その費用は1件あたり約2,000円との回答が6割で最多となっていたということです。
モール型ECサイトを利用する際のセキュリティで気を付けるポイントとして、ECサイトを更新するパソコンなどエンドポイントのセキュリティに気を付ける必要があります。
モール型ECサイトでは、そのプラットフォームやアプリケーションはモール型ECサイトを提供する事業者の責任で行われます。つまり、今回の調査で不正アクセスの直接的な原因として発表されている、SQLインジェクションやECサイトの脆弱性は、モール型ECサイトの事業者が対応を行う必要があります。
ただし、モール型でもECサイトの各ページを更新する作業は、店舗側が所有するパソコンで行う必要があります。そのパソコンがマルウェアに感染していた場合は、不正アクセスの被害にあう可能性がありますので、店舗側で対応を行う必要があります。
具体的には、ECサイトを更新する際に入力するIDやパスワードがマルウェアに盗聴されてしまい、そのアカウントが悪用されることで、顧客情報を窃取されてしまう可能性があります。対策として、パソコンのOSやソフトウェア、セキュリティ対策製品を最新バージョンへアップデートすることが店舗側に求められます。
自社ECサイトを外部委託先が開発する場合、脆弱性が発見された際の対応や、情報漏えいが発生した際の責任について、契約書で明文化しておく必要があります。
今回は、モール型と自社ECサイトのセキュリティで気を付けるべきポイントについて説明しました。調査結果にもある通り、事故が起こってからでは多額の調査費用がかかってしまいますので、未然防止ができる範囲は漏れなく対策するようにしましょう。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ