• TOP /
  • コラム /
  • ECサイトに求められるセキュリティ対策とは?実例から解説

ECサイトに求められるセキュリティ対策とは?実例から解説

2024.05.11
  • EC総合支援

ECサイトは、実店舗を持たずインターネットを通じて商品を販売する手法です。その特性から個人情報を収集し、決済にはクレジットカード決済を使うケースが多くなります。 そこで課題になるものが、ECサイトのセキュリティ対策です。ECサイトに求められるセキュリティ対策について解説します。


EC_サービス_日本トータルテレマーケティング_バナー

ECサイトのセキュリティ対策が必要な理由

ECサイトでは個人情報が収集され、決済にクレジットカード決済やバーコード決済が使用されます。その結果、ECサイトは情報セキュリティ上のターゲットとされる可能性が高く、情報ハッキングの対象にされやすいといえます。

ECサイトは狙われる頻度が高い

顧客の個人情報やクレジットカード情報を扱うECサイトは、犯罪者にとって価値ある情報が大量に集まる場所です。ECサイトは情報犯罪の対象となる可能性が高いといえます。
また、ECサイトはオープンソースを用いて構築されたものが多く、セキュリティホールを見つけ出される恐れがあります。ECサイトは情報セキュリティ対策をして、犯罪行為からユーザーを守らなければなりません。

社会的信用を失う恐れがある

ITの発展にともない、個人情報の保護や情報漏洩の事件が頻発しています。
企業の情報漏洩に対しては、社会が厳しい目を向けています。情報漏洩は多くのメディアで報じられ、ブランドイメージや社会的信用が大きく損なわれるでしょう。

顧客離れや売上の低下、サイトの改修費や情報漏洩に対する賠償金の発生などの被害もあり、情報漏洩はECサイト運営に大きなダメージを与えます。

ECサイトのセキュリティ対策で欠かせないポイント

ECサイトのセキュリティ対策をするために欠かせないポイントを解説します。ECサイトにかかわらず、セキュリティ対策は常に最新のクラッキング技術との競争です。要点を押さえた対策が欠かせません。

セキュリティ上のリスクの把握

最初に、ECサイト運営におけるセキュリティ上のリスクを把握しましょう。

ECサイトで収集される顧客情報には、住所や電話番号、クレジットカードの情報が含まれます。情報流出をすると、カードの不正使用をはじめとする被害が発生する恐れがあります。賠償責任も発生する、非常に重いリスクです。

顧客情報の保存先や、データへのアクセス経路のセキュリティ対策をするような対策が求められます。

管理者のセキュリティ教育の徹底

セキュリティ対策は、ハッキング行為だけでもたらされるわけではありません。従業員の情報管理ミスにより発生した事故は、事故全体の5割を超えています。

セキュリティ対策を徹底するには、管理をする従業員へ徹底したセキュリティ教育が必要です。情報の持ち出しや印刷物、メモリーカードの取り扱いについて、ルールを策定し、情報漏洩を防ぐ方法を周知しましょう。

脆弱性が見つかった場合の対応フローの策定

ECサイトのシステムに、サイバー攻撃の対象になるバグやセキュリティホールが発見されることがあります。こうした情報を素早くつかみ、即座に対応をすることが大切です。

サイトの脆弱性を定期的にチェックしましょう。また、脆弱性が見つかったときの対応フローを決めておくとより安心です。

不正アクセスを検知するサービスの導入

ネットワークセキュリティ対策として、不正アクセスを検知するサービスの導入がおすすめです。

例えば、キーボードやマウス操作の動きの癖から不正アクセスを見抜くサービスがあります。ほかにも、過去と比較して不正アクセスやサイバー攻撃の可能性を自動で判断し、通信遮断できる機能も存在します。

加えて、導入したセキュリティソフトの安全性を、外部に評価してもらうような対策も必要です。

不正注文を防げるサービスの導入

購入者の情報を偽装し、不正注文をしてサイトに被害を与える情報犯罪が存在します。不正注文はクレジットカード情報の漏洩があったときに起こりやすい犯罪です。

不正注文が増えると、対応へのコストが高まり、利益を大幅に損なう可能性があります。不自然な注文や大量の注文をリアルタイム監視できるセキュリティソフトを導入して、不正注文を防ぎましょう。

サイバー攻撃の手法、手口

マルウェア感染やフィッシング、不正ログインなど、サイバー攻撃は非常に多様です。EC運営では、これら全てへの対策が求められます。サイバー攻撃の手法や手口に関しては常に最新情報に目を配りましょう。

マルウェア

マルウェアは、不正な動作を意図して作られたソフトウェアです。メールの添付ファイルやサイトの読み込み時に感染する危険があります。感染によりコンピューターに侵入する経路を作られ、情報流出の被害にあう仕組みです。

主に情報を盗み出したり、システムを破壊したりする目的で使用されます。現在は、データと引き換えに入金を要求するような金銭目的の悪質なものが増えています。

標的型攻撃

標的型攻撃は、特定の企業や個人をターゲットとするサイバー攻撃です。ターゲットが立ち寄りそうなWebサイトをあらかじめ改ざんして、アクセスと同時にウイルスに感染させる手法が用いられます。

また、有名企業や銀行、大手ECサイトなどを騙り、認証情報やクレジットカード情報を盗み出すフィッシング被害も拡大しています。それだけでなく、サーバーに過負荷を強要してダウンさせるような直接的な攻撃も珍しくありません。

パスワード取得による不正ログイン

不正ログインとは、サイトやサーバーのパスワードを何らかの方法で取得し、不正ログインをする手口の犯罪です。管理者権限のパスワードが盗まれた場合、甚大な被害を受ける可能性があります。また、ブルートフォースアタックとよばれる総当たり攻撃によるログインを狙う方法はメジャーな手法です。

不正ログインは容易に情報漏洩や不正利用につながるため、パスワードの管理は厳重にしましょう。

情報漏えい・紛失

個人からの情報漏洩や情報メディアの紛失は、サーバー攻撃のきっかけとなります。

こうした漏洩を防ぐには、個人の端末をウイルスに感染させないことが重要です。OSやセキュリティソフトを常に最新状態にして、許可なく他人のデータを貸与したり贈与したりしないセキュリティ対策を徹底しましょう。

Webサイトの改ざん

Webサイトの改ざんは、勝手にサイトが変更されるサイバー攻撃です。改ざんされたWebサイトには、不正なPHPスクリプトが設置され、多数の不正ページが作成されます。

サイトの改ざんはセキュリティホールやパスワードの不正使用によってされます。サーバーやOS、セキュリティソフトのバージョンを常に最新に保つことが防止策として有効です。

ECサイトのセキュリティ例や対処

ECサイトでセキュリティ被害が発生した例と、それらの対処法を解説します。起こった事案を知り、セキュリティ対策に反映させてください。

賠償額が大きかった例

ある会社による個人情報漏洩事件は、漏洩したECサイトのユーザー1人あたりの賠償額が過去最高になる結末を迎えました。流出件数が5万件にのぼり、1人あたりの賠償額が35000円と高額であったためです。情報には、アンケートの回答のようなプライバシーに関する情報も含まれていました。

情報露営の原因は、5万人分の個人情報が含まれたファイルを、アクセス制限のない状態で公開領域においたことによるヒューマンエラーでした。人によるミスを防ぐには、セキュリティ教育や周知が欠かせません。

被害者数が多かった例

ある会社の事件では、関連会社の従業員が顧客情報を自身のスマートフォンに転送したことがきっかけで情報が流出しました。顧客から「見に覚えのない会社からダイレクトメール、電話による勧誘の連絡が来る」問い合わせの多発により発覚しました。
被害にあった顧客は462人に及び、1人あたり3300円の賠償が発生しています。

このような被害を防ぐには、「顧客情報を会社のデバイス以外で閲覧しない」「会社の情報を個人の端末に転送しない」といったルール決めが有効です。

不正ログインの例

あるオンラインショップを運営する会社では、顧客のIDやパスワード情報が流出して、不正ログインが発生しました。ネットバンキングの情報が流出して、不正送金をはじめとする実害が発生した例も存在します。

通販サイトでは、ポイントの不正使用や登録クレジット番号などの決済情報が盗まれる恐れがあります。住所や氏名といった個人情報やクレジットカード情報は、直接悪用されるだけでなく、ダークウェブとよばれる非合法な取引サイトで売買される危険性もあります。

2段階認証をはじめとするセキュリティに関するツールやシステムを導入すると、これらのリスクを抑えられます。

悪質な転売ヤーによる例

直接的なセキュリティ被害ではないものの、ECサイトが標的とされる犯罪行為として悪質な転売ヤーによる被害があります。転売ヤーとは、商品を転売目的で買い占め、不正な高額で商品を取引する存在です。限定品や人気で品薄の商品がターゲットとされます。

例えば、とある人気アニメの限定商品を転売ヤーが買い占めて、元値の10倍近くで売る被害がありました。

転売ヤー対策として、事前に身元登録のうえに抽選販売をするような対策があげられます。

フィッシング攻撃の例

フィッシング攻撃とは、実在する本物の企業を装ったメールを送り、偽サイトに誘導して個人情報やID、パスワードを入力させ、情報を抜き出そうとする詐欺です。手口が年々巧妙化し、本物のサイトと偽物のサイトの区別が難しくなっています。

とある通販サイトでは、「個人情報変更のお願い」と書かれたメールから偽サイトに誘導する手口で、IDやパスワード、そのほか個人情報を抜きとる被害が発生しました。

不特定多数をターゲットとした攻撃から、特定個人を狙い撃つケースまで、手法はさまざまです。外観では区別がつかない精密なものも多いため、あやしいと感じたらメールの認証情報をチェックする、内部リンクではなく別経路で当該サービスにアクセスするような対策が必要です。

内部不正の例

内部不正とは、一般的に企業内部の人物が企業の重要情報を外部に持ち出し、流出させることです。
とある企業では、従業員がライバル会社に顧客のデータを持ち出す情報漏洩が起こりました。

内部不正は、風評被害を恐れる企業が公表しないケースもあります。このため、個人情報が全く知らない間にインターネット上に流布している可能性もあるでしょう。

日頃から内部での情報の取り扱いについてルールを作り、対策しておきましょう。

ECサイトのセキュリティ対策チェックリスト一覧

ECサイトのセキュリティ被害対策として、経済産業省は「ECサイト構築・運用セキュリティガイドライン」を公開しました。

ガイドラインでは、新規のEC事業の立ち上げに対し、起業時にセキュリティ対策や保守コストを見積もることに加え、情報セキュリティ担当者の設置か適切な外部委託の必要性をあげています。また、既存のECサイトについても、過去を振り返ったうえでの自サイトのセキュリティ対策の整備と対策が不十分な点の改善を求めています。

ECサイトの安全な運営にはセキュリティ対策が不可欠

ECサイトを安全に運営し、顧客の被害や除法漏洩リスクを避けるには、適切なセキュリティ対策が不可欠です。セキュリティ対策をシステムや委託先に任せきりにせず、自社でも検討と対策をしましょう。
ECサイト運営代行サービスでは、セキュリティ対策も万全にされ、リアルタイムでの保守点検もされています。興味のある方はこちらをご覧ください。


コンタクトセンターお役立ち資料_日本トータルテレマーケティング_バナー

関連記事

CONTACT