いまや企業規模や業種業態を問わず、いかにビジネスにITを活用するかは、事業の成功のみならず、企業の成長をも左右する重要なファクターのひとつとなっています。と、同時にサイバー攻撃などによるセキュリティリスクの増大もまた、企業にとっては大きな課題としてクローズアップされるようになりました。
国内セキュリティ業界で影響力のある有識者として徳丸 浩氏(EGセキュアソリューションズ株式会社 代表取締役)を招きお届けする当企画。前篇となる今回は、コロナ禍の「巣ごもり需要」でも注目されるECサイト——その運営に潜むリスクを取り上げます。
※当記事は2021年5月、徳丸氏へ行った取材をもとに、Tech+(ライター:小池 晃臣)が執筆・編集した内容を掲載しています。
セキュリティ侵害による金銭的被害の2つのパターン
キャッシュレス決済サービスの普及や、コロナ禍の「巣ごもり需要」を受け、買い物のスタイルが現金からキャッシュレスへ、そして実店舗からECサイトへと変化しています。そうしたなか、一般ユーザーを狙った、金銭的な被害をともなうサイバー攻撃によるセキュリティ侵害の危険性に注目度がまた高まっています。たとえば、QRコードを使ったキャッシュレス決済サービスを狙った不正アクセスによるセキュリティ事故が、一昨年ぐらいにしばしば話題となっていたのは記憶に新しいのではないでしょうか。
しかし、セキュリティ侵害による金銭的な被害というのはかなり以前から頻繁に発生しています。それが、キャッシュレス決済サービスやECサイトの普及と相まって、より身近になり、また深刻度を増しているのが「いま」であると言えるでしょう。
金銭的な被害をともなうセキュリティ侵害は、大きく2つのケースがあげられます。1つはネットバンキングや、先に触れたキャッシュレスサービスの被害であり、とくにネットバンキングへのサイバー攻撃は以前より継続して発生しているものです。ただし、ネットバンキングに関しては、基本的に法律によって利用者が被った被害は補償されるようになっています。サービスを提供する金融機関側としても、多少の被害を補償したとしても、リアル店舗からネットバンキングへと移行してほしいという事情もあり、ほぼ100%利用者側に責任がある場合であっても大抵は補償がなされています。
また、キャッシュレスサービスについては法的な裏づけはないものの、運営会社がどこも比較的大規模な企業であることもあり、騒ぎが大きくなることで基本的に補償されています。
そしてもう1つのケースが、今回の本題でもあるECサイトを狙ったサイバー攻撃による金銭的な被害で、いまや非常に深刻な事態となっています。
被害額は年間200億円……!ECサイト由来によるクレジットカード番号の悪用
日本クレジットカード協会が公表しているクレジットカードの不正利用による被害額の推移をみると、2017年以降250億円前後にもおよぶ莫大な被害が毎年発生していることがわかります。これは、クレジットカード不正利用全般による被害額ですが、その内訳をみると、大半が番号盗用による被害額だということがわかります。これこそが、ECサイトからクレジットカード情報が漏洩し、悪用されたことによってもたらされている被害であり、年間200億円前後にも達しているのです。
引用:
クレジットカード不正利用被害の発生状況(一般社団法人日本クレジット協会サイトより)
もちろん、クレジットカードの被害に関しても一定条件を満たせば補償されます。とはいえ、場合によっては100~200万円にもなる被害が自分の身に降りかかることによる、精神的ショックは計り知れないのではないでしょうか。
クレジットカードによる決済は、以前からECサイトでの決済の主流でしたが、コロナ禍を受けてECビジネスに注力している事業者が増えています。しかし、安易に手を出せば、相応のリスクを背負うことも知っておくべきでしょう。
ここで注目していただきたいのが、クレジットカード情報が漏洩したECサイトというのは、Amazonや楽天といったいわゆるプラットフォーマーではなく、その大半は中小規模の事業者が運営するECサイトであるという現実です。加えて深刻なのが、被害が生じた原因が、ECサイト自体の脆弱性を突いた攻撃が外部から行われたことにあるため、利用者側の注意では防げないという点にあります。
中小事業者がECサイトの運営で陥るリスク
このように、ECサイトを狙ったサイバー攻撃による被害が増えていてもなお、自社でECサイトを構築・運営したがる中小の事業者は後を絶ちません。しかも、そうしたECサイトの多くが、レンタルサーバー上に構築されているのです。レンタルサーバーが絶対だめということではないのですが、サイトの開発や運営にかける予算が極めて少ないことの象徴であると思いますし、セキュリティに掛けている費用もゼロという場合が大半だと思います。
さらに、レンタルサーバー上で運用されているECサイトをはじめ、国内の中小規模の事業者のECサイトに使われるソフトウェアとして圧倒的な人気を誇るのが、無料で提供されているオープンソースソフトウェアの「EC-CUBE」です。そしてまた、ECサイトで発生するセキュリティ侵害事故の多くは、このEC-CUBEを用いたサイトで生じているのです。
ただし、ここで注意していただきたいのは、EC-CUBE自体が危険なのかと言うと必ずしもそうではなく、これまで発生したセキュリティインシデントのほとんどは、安易なカスタマイズや、インストールや設定時のミス、もしくはすでに発表されている脆弱性への対応を怠るといったことなどを理由とするものなのです。つまり、無料かつ手軽であることから、利用する企業も多い分、誤った使い方もまた横行してしまっている、というのが実情となります。
このような事態を防ぐべく、EC-CUBE側でも“そう難しくなく”使えるチェックリストを提供しており、また我々も半分ボランティア的にEC-CUBEの無料チェックサービスを提供しています。しかしながら、こうしたチェックリストですら使うことのできないレベルの企業も数多く参入しているのが、現在の国内ECサイト市場の現状なのです。
また、今年5月7日にはEC-CUBE4.0系における緊急度「高」の脆弱性が発表されており、利用している一部のサイトで、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されています。現在、この脆弱性はEC-CUBEのクラウド版「ec-cube.co」にて、一定の改善がなされているそうですが、ECサイトの運営企業、もしくはその保守契約をしているベンダーは、こうした情報をいち早くキャッチすることも、必要な対応として求められるのです。
経営者の意識と理解がカギに
このように、ECサイトでのセキュリティ侵害事故を防ぐための方法としては、まずAmazonや楽天といったプラットフォーマーを利用することがあげられます。しかしながら、手数料が掛かったり、同じ商品の場合は価格勝負になってしまったりといった理由から敬遠する企業も多いと考えられます。
そこで別の対策としてあげられるのが、なるべく自身でソフトウェアや環境を構築せず、たとえば前述のEC-CUBEにもec-cube.coがあるように既存のSaaSを活用することや、構築保守を信頼できるベンダーに依頼すること、もしくはWAF(Web Application Firewall)のようなセキュリティ機器を導入することです。
いずれにせよ、経営者のセキュリティに対する意識や感度が非常に重要になってきます。実店舗であれば家賃が発生するのと同じように、ECサイトを安全に運用するためには、最低限必要なセキュリティコストが生じること。経営者の皆さんには、このことをしっかり、理解していただきたいと願うばかりです。
Tech+ 企業IT『セキュリティ最前線』
ITの進歩、またそれを攻撃する脅威の巧妙化により、サイバーセキュリティの最新情報は日々アップデートされています。このTech+「セキュリティ最前線」では、刻々と更新されるアップデートを最前線の情報として、日々公開しています。
▽あわせて読みたい! おすすめ記事
- 必ずしも高度なテクニックを使うとは限らないサイバー犯罪者たち
- Webサイトの運営で必要なセキュリティ対策のポイントとは?
- テレワーク環境で増大する脅威にもしっかり対応! 中堅・中小企業が無理なく高度なセキュリティ対策を実現できるESETのソリューションとは
- アップデートでさらなる機能強化を果たした「ESET Enterprise Inspector」
- 【特別対談】辻 伸弘氏×キヤノンマーケティングジャパン「セキュリティ製品を入れておけば大丈夫」な時代は終わった──企業と個人がそれぞれ気をつけるべきポイントとは
▽関連製品
[PR]提供:キヤノンマーケティングジャパン
