こんにちは!イー・ガーディアンです。

昨今、ECサイトへのサイバー攻撃が激化しクレジットカード情報などの個人データの漏えい事案が増加しています。それに伴いクレジットカード不正利用の被害が後を絶たない状況です。

これを受け、経済産業省及び情報処理推進機構(IPA)より「ECサイト構築・運用セキュリティガイドライン(2023)」が公表されるなど、ECサイト事業者には安全なサイト運営を行うための早急なセキュリティ対策強化が求められています。

そこで、今回はECサイトにおけるセキュリティ対策の重要性や、サイバー攻撃の脅威とその対策について解説していきたいと思います。

■ECサイトでセキュリティ対策が求められるワケ

どのようなビジネスにおいても、セキュリティ対策の徹底はもちろん重要ですが、その中でも特にECサイト事業者に注意喚起がなされているのは何故なのでしょうか?

ECサイトは個人情報など魅力的な情報がいっぱい

ECサイトは顧客の個人情報やクレジットカード情報など、非常に価値の高い情報が多く保管されているため攻撃者から狙われやすい傾向にあります。また、サイトを作るためのソースコードが公開されているOSS(オープンソースソフトウェア)を使って構築されたサイトも多いため、こまめなアップデートが出来ていない場合には新たに発見された脆弱性により攻撃されてしまう恐れがあります。

甚大な経済的損失

ECサイトで事故・被害が発生すると、サイト閉鎖期間の売上損失や事故対応費用(クレジットカードの再発行手数料・不正利用被害の補償額・慰謝料など)など甚大な経済的損失が発生します。

また、「セキュリティ事故が発生したサイト」としてブランドイメージが低下し、社会的信用も失ってしまうため、事故対応が落ち着いたとしても顧客離れ・売上の低迷は免れません。

■ECサイトでよくあるセキュリティ被害事例

ECサイトで実際に発生しているセキュリティ被害は下記のようなものがあります。

不正アクセス

不正アクセスとは、不正に入手したID・パスワードを使って他人のアカウントにログインすること(乗っ取り)や、サイトの脆弱性を突いて侵入することを指します。不正アクセスした攻撃者によってWebサイトが改ざんされると、ユーザーが詐欺サイトへ誘導され個人情報が盗まれるなどの被害が発生します。(SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションの脆弱性を悪用する攻撃が代表的です。)

マルウェア感染

「マルウェア」はサイバー攻撃を目的とした悪意のあるソフトウェアの総称です。マルウェアに感染すると、個人情報や機密情報、クレジットカード情報の抜き取り、データの破壊などの被害が発生するだけでなく、攻撃者が侵入しやすくするための裏口=「バックドア」が作られ、そこから侵入される危険性もあります。(マルウェア感染やバックドアによる被害は、パソコン上での被害と思われがちですが、Webサーバーにバックドアなどの不正なプログラムを設置されることもありますので注意が必要です。)

DoS・DDoS攻撃

Dos攻撃(Denial of Service attack)とは、悪意ある第三者が大量にデータを送りつけて処理不能な状態にさせるなど、サーバーをパンクさせる手法です。DDoS攻撃(Distributed Denial of Service attack)は、その名の通りDistributed=分散型のDoSで、マルウェアに感染させたコンピューターを踏み台にして複数の端末・IPから一気に攻撃します。攻撃を受けたシステムはサービスを提供できない状態に陥るため、大きな被害を受けてしまいます。

■ECサイト運営でおさえるべき対策

常に安全なECサイトを運営していくためには、セキュリティ対策をきちんと行い安全性を高めていくことが重要となります。

  1. 定期的な脆弱性診断の実施・対応
    ECサイトは豊富な決済手段や、ポイントプログラム、商品レビューなど様々な機能を追加しカスタマイズしているため、脆弱性が生まれやすい状態にあります。脆弱性の無い安全な状態でサイト公開することはもちろんですが、新たな脆弱性が存在していないか定期的にチェックし常に安全な状態を維持することが重要です。「ECサイト構築・運用セキュリティガイドライン(2023)」では、新規構築時・カスタマイズ時に加えて定期的な診断・対策の実施が必須とされています。

    「Webアプリケーション脆弱性診断」サービス詳細

  2. ソフトウェアは常に最新の状態を維持
    サーバーやWebアプリケーションなど、ECサイトを構成しているソフトウェアは定期的に更新し、常に最新の状態を保つようにしましょう。特に、既に攻撃方法が見つかっていたり被害が広く知られていたりする危険性の高い脆弱性については、セキュリティパッチの適用やバージョンアップを迅速に行うことが重要です。

  3. WAFを導入し定常的な対策を
    WAF(Web Application Firewall)は、脆弱性を悪用した外部からの攻撃に対してWeb サーバーを防御する「防火壁」の役割を果たします。脆弱性が見つかってから対策するまでの期間などに攻撃されてしまうリスクを回避するためにも、脆弱性診断やソフトウェアアップデートなどの定期的な対策に加えて、定常的なセキュリティ強化対策を実施することをおすすめします。

    「WAF製品「SiteGuard シリーズ」詳細

    ■さいごに

    ECサイトのセキュリティ対策を怠ると、経済的損失や社会的信頼の失墜、ブランドイメージの低下など、企業へのダメージは計り知れません。徹底したセキュリティ対策で被害を未然に防ぎ、安全なサイト運営を実現しましょう。

    EGセキュアソリューションズでは、「ECサイト構築・運用セキュリティガイドライン(2023)」で必須項目となっている「脆弱性診断」と、定常的なセキュリティ強化方法として推奨された「WAF製品」をパッケージにした、「ECサイト向けセキュリティパッケージプラン」をご用意しております。

    安心安全なサイト運営の実現に向けて、お客様のご状況・ご希望に合わせてサポートをさせていただきますので、まずはお気軽にご相談ください!