ECサイトのセキュリティリスクと対策|情報漏えいとクレジットカード不正利用に注意!

2021/06/22

ECサイトのセキュリティリスクと対策|情報漏えいとクレジットカード不正利用に注意!

ネット利用が普及し生活が便利になる一方で、日々、多くのECサイトで個人情報やクレジットカード情報の漏えい事故が起こっています。ECサイトの担当者へのアンケートによると、49.1%が「ECサイトに対してサイバー攻撃を受けたことがある」と回答しています。

ECサイトの立ち上げを検討している担当者は、ECサイトの最も大きいセキュリティリスクである「クレジットカード情報の漏えい対策」を行うべきです。万一、クレジットカード情報が流出すると、サイト閉鎖や損害賠償などの可能性もある重大なリスクです。

この記事の目次

情報漏えいによる損害賠償などの経済的損失

個人情報の漏えいによって顧客が被害を受けると、企業は損害賠償責任を負うケースもあります。基本的に被害を受けた顧客全員に対して賠償する必要があるため、多くの顧客を抱えている企業ほど損失が大きくなるのが一般的です。

漏えい人数 561万3,797人
インシデント件数 443件
想定損害賠償総額 2,684億5,743万円
1件当たりの漏えい人数 1万3,334人
1件当たりの平均想定賠償額 6億3,767万円
1人当たり平均想定賠償額 2万9,768円

日本ネットワークセキュリティ協会(JNSA)のセキュリティ被害調査ワーキンググループは、想定損害賠償額を「漏えい個人情報価値(基礎情報価値×機微情報度×本人特定容易度)×情報漏えい元組織の社会的責任度×事後対応評価」という、「JOモデル」と呼ばれる計算式を用いて試算しています。

このモデルによると、漏えいした個人情報の性質や企業のブランド価値や規模、情報漏えいへの対応の仕方などによって損害賠償額に差が生じます。

賠償事案が発生すると、賠償額の支払いはもちろん、訴訟に関する費用や訴訟の対応に要する人的・時間的コストはECサイト事業者にとって大きな負担となります。

出典:
NPO日本ネットワークセキュリティ協会『2018年 情報セキュリティインシデントに関する調査報告書【速報版】』
(引用)JNSA情報セキュリティインシデントに関する調査報告書別紙

社会的信用が失墜して顧客が離れてしまう

情報漏えいが発生すると、監督官庁への報告がマスコミやインターネット上で取り上げられることで、ネガティブな情報が拡散されてしまう可能性があります。

損害賠償の支払いやセキュリティ対策を済ませてECサイトは運営を継続できたとしても、情報漏えいによって社会的信用を失うことで顧客が離れ、売上の減少や株価下落につながる恐れもあるのです。

信用を回復させるにはトラブル対応のスピードや内容が重要ですが、情報漏えいに伴う相談窓口の設置をはじめとする顧客対応や再発防止対策には費用がかかります。一度情報漏えいが発生すると、損害賠償と併せてさまざまな経済的損失が発生することに注意が必要です。

クレジットカードの不正利用によるダメージ

個人情報の中でも特に顧客のクレジットカード情報の漏えいは大きな問題となります。漏えいしたカード情報を用いて不正利用が行われると、ECサイトは以下のような損失を被る恐れがあります。

1.ECサイトの閉鎖

カード情報が流出した場合、カード決済の停止やサイトを一時閉鎖するなどの措置がとられます。次で説明する「フォレンジック調査」によって流出原因の調査、原因の特定と応急処置、必要なセキュリティ対策が完了するまでビジネスの再開は認められません。

2.フォレンジック調査の費用

「フォレンジック調査」は漏えい発生に際し、原因特定や被害範囲特定を行うための調査です。カード会社との加盟店契約において、加盟店は漏えい事故が起きた際の調査が義務付けられています。特定の専門機関への調査依頼が必要となり、調査費用は数百万円から1000万円程度が見込まれます。

3.対象顧客への報告とお詫びの対応と費用

お客様へのお詫び対応のデスク設置やクレジットカードの差し替え費用、お詫び金などが発生します。

4.行政指導が入るおそれ

クレジットカード情報が流出した場合、事件・事故として監督官庁に報告することになります。割販法により、当局からの立ち入り検査などの行政指導等を受ける可能性があります。

5.チャージバックの費用負担

「チャージバック」とは、不正使用があり、クレジットカードの持ち主が支払いに同意しない場合に、クレジットカード会社が売上を取消しすることです。ECサイト事業者はクレジットカード会社に購入代金を返金しなければなりません。さらに、犯人に商品を提供してしまっていれば商品が戻ってくる可能性は低いです。

■情報漏えいの原因(2018)
情報漏えいの原因(2018)

人為的ミス

JNSAの『2018年 情報セキュリティインシデントに関する調査報告書』によると、情報漏えいの原因の約70%は社内での人為的ミスや管理不足によるものです。中でも多くの割合を占めるのは、「紛失・置き忘れ」(26.2%)と「誤操作」(24.6%)でした。

情報漏えいを防ぐには、社内でのセキュリティルールを整備した上で適切な運用体制を作るとともに、従業員のセキュリティ意識を高めるための教育が不可欠です。

出典:NPO日本ネットワークセキュリティ協会『2018年 情報セキュリティインシデントに関する調査報告書【速報版】』

外部からのサイバー攻撃・内部での不正行為

外部からの不正アクセスはECサイトの脆弱性=セキュリティ上の弱点を突いて行われます。

信頼性や実績が十分でないアプリケーションや情報システムを利用していたり、アプリケーションの最新版へのアップデートやメンテナンスを怠っていたりすると、セキュリティ上のリスクが高まるため注意が必要です。

また、内部での不正行為や情報持ち出しといった社内犯罪も情報漏えいの原因の約5%を占めており、決して少ない割合ではありません。権限のある人間ならUSBメモリ一つで機密情報を持ち出せてしまいます。トラブルの発生を抑えるには、適切なアクセス権限の設定や社内監視の徹底など、内部対策も重要です。

安全なECサイトを作る上で特に重要なポイントは以下の3点です。

  1. Webアプリケーションのセキュリティ実装(脆弱性への対策)
  2. パスワード管理やフィッシング詐欺対策などサーバーの適正管理
  3. サイト運用面の安全性の向上

具体的にどのような対策を取るべきかを知るには、以下のような各種セキュリティ関連団体が公表しているガイドラインを確認することをおすすめします。

DGフィナンシャルテクノロジーの決済サービスについて詳しく知りたい方はこちら

最近報道されたクレジットカード情報漏えい事故をいくつかご紹介します。

報道日時 業種 事故内容
2021年3月 健康食品通販サイト 顧客のクレジットカード情報が流出。
2021年3月 和装小物等通販サイト 不正アクセスによる顧客のクレジットカード流出の可能性あり。
2021年2月 ペットフード取り扱いサイト 不正アクセスにより個人情報が流出。

直近の短い期間だけでも、多様な業種のECサイトでクレジットカード漏えい事故が起きています。適切なセキュリティ対策・管理をしなければ自社でも起こる可能性があり、他人事ではない問題であることが分かります。

漏えいしたクレジットカード情報はどうなるかご存知ですか? ECサイトから不正に盗まれた顧客のクレジットカード情報は不正に利用される、または闇サイトで売買されます。

ECサイトで取り扱う個人情報は名前、住所、電話番号、メールアドレスなどがありますが、特にクレジットカード情報(カード番号、カード会員名、有効期限、セキュリティコード)が漏えいすると、クレジットカード情報の不正利用による深刻な被害を引き起こします。

ECサイトでクレジットカード情報が悪用されるケースを3つ紹介します。

ECサイトでクレジットカード情報が悪用されるケース

1.換金目的の高額商品の購入

犯人は盗んだクレジットカード情報で、家電、ジュエリー、航空券、高級ブランドなどの高額商品をECサイトから購入し、商品を転売し換金します。

2.不正トラベル

犯人は旅行代理店になりすまします。旅行者が犯人に旅行を申し込み、旅行代金の支払いをします。犯人は別途不正に入手しておいたクレジットカード情報を使用して、正規の旅行事業者に手配を行います。これによって、犯人は旅行サービスの支払い金を詐取します。

3.小額の商品の購入

ここ数年で目立ってきたケースです。盗んだクレジットカード情報で1万円以下の小額の商品を狙って購入します。毎月のクレジットカード明細書をチェックする消費者が少ないため、不正利用だと気づかれにくい手口です。また、カード会社の監視の目をかいくぐってしまう可能性もあります。

クレジットカード情報の漏えいは、大切なお客様がこのような深刻な犯罪に巻き込まれる重大な問題です。

このようにECサイト事業者に多くの損害を与えるクレジットカード情報漏えい事故ですが、被害額は年々拡大しています。

クレジットカード情報不正利用の被害額の推移

2003年以降減少傾向だった不正利用の総被害額ですが、ECの拡大に伴い2013年から増加し、2017年の被害額は2013年の約3倍に急拡大しています。

クレジットカード不正利用の手口の内訳では、偽造カードによる実店舗での不正利用額は2008年から減少傾向なのに対し、ECサイトでのクレジットカード番号盗用による被害額が急激に増加しています。

■クレジットカード不正利用被害の発生状況
カード不正利用被害の発生状況

出典:一般社団法人日本クレジット協会『クレジットカード不正利用被害の集計結果について』

IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2019 (消費者における脅威)」の1位は「クレジットカードの不正利用」でした。このように、クレジットカードの不正利用は社会的に最も影響が大きいセキュリティ上の脅威となっています。

■情報セキュリティ 10大脅威 2019「個人」
順位 脅威
1 クレジットカード情報の不正利用
2 フィッシングによる個人情報等の詐取
3 不正アプリによるスマートフォン利用者への被害
4 メール等を使った脅迫・詐欺の手口による金銭要求
5 ネット上の誹謗・中傷・デマ
6 偽警告によるインターネット詐欺
7 インターネットバンキングの不正利用
8 インターネットサービスへの不正ログイン
9 ランサムウェアによる被害
10 IoT 機器の不適切な管理

出典:IPA(情報処理推進機構)『情報セキュリティ10大脅威 2019』

ECサイトを狙ったサイバー攻撃に関する調査結果

ECサイトの構築・運用・セキュリティの実務担当者へのアンケートによると、49.1%が「ECサイトに対してサイバー攻撃を受けたことがある」と回答しています。

攻撃手法については、「OSの脆弱性を突く攻撃(23.6%)」、「ミドルウェアの脆弱性を突く攻撃(18.6%)」、「ウェブアプリケーションの脆弱性を突く攻撃(12.9%)」と数多くの企業がECサイトの脆弱性を狙った攻撃を受けていることが分かりました。

自社が展開しているECサイトに対して、過去1年以内にサイバー攻撃を受けたことはありますか?

出典:トレンドマイクロ『企業におけるECサイトのセキュリティ実態調査 2016』

ECの市場拡大にともない、セキュリティ対策が甘い中小ECサイトが増加し、それを狙ったサイバー攻撃が活発化しています。その結果、クレジットカード情報が窃取され、クレジットカード情報が不正利用されたり、闇サイトで売買されています。

セキュリティ対策が甘い中小ECサイトの増加

インターネット技術の発展により、中小企業や個人事業主でもECサイトを簡単に立ち上げることができるようになりました。そのため、不正被害リスクを認識せず、セキュリティ対策を行っていないECサイトが増加し、クレジットカード情報漏えいのターゲットが拡大しています。

ECサイトを守るために注意したいサイバー攻撃「ECサイトの脆弱性をついた攻撃」と「アカウントの乗っ取り」をご紹介します。

ECサイトの脆弱性をついた代表的な外部攻撃

1.SQLインジェクション

アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法です。

2.XSS(クロスサイトスクリプティング)

他人のWebサイトへ悪意のあるスクリプトを埋め込み、ユーザーがお問い合わせフォームを送信した際に問い合わせ情報を抜き取る、またはサンクスページを悪質なサイトに入れ替える攻撃です。

3.ゼロデイ攻撃

ソフトウェアのセキュリティ上に発見された脆弱性を悪用する攻撃です。メーカーや研究者から問題が公表され、修正プログラムが公表される前に攻撃します。

4.アカウントの乗っ取り

Webサーバにリモートアクセスできる管理用アカウントの情報を窃取し、管理者になりすまし改ざんします。

アカウント窃取の方法は脆弱性攻撃、フィッシング詐欺などが挙げられます。また、組織内のネットワークに侵入し、管理用のPCを乗っ取って改ざんを行う方法もあります。

DGフィナンシャルテクノロジーの決済サービスについて詳しく知りたい方はこちら

このように深刻なダメージを受けるサイバー攻撃からECサイトを守るために必要な3つのセキュリティ対策を紹介します。

1.クレジットカード情報非保持化

「クレジットカード情報の非保持化」とは、クレジットカード情報を自社のECサイトのサーバやネットワークなどの環境にて「通過」させない、「保存」しない、「処理」しないことを指します。自社のECシステム内ではクレジットカード情報を一切扱わず、クレジットカード決済を十分なセキュリティ対策がされている決済サービスへ委託します。

「クレジットカード情報の非保持化」の定義

決済サービスとの接続方式には「トークン型接続方式」、「リンク型接続方式」の2種類があります。

(1)トークン型接続方式

クレジットカード情報を暗号化された文字列(トークン)に置き換えて決済処理します。

クレジットカード情報は購入者のブラウザから直接決済代行会社に送信され、ECサイトとのクレジットカード決済処理は暗号化されたトークンで実施されるため、クレジットカード情報がECサイトのサーバを通過することなく安全に決済ができます。

(2)リンク型接続方式

支払い時に決済代行会社のサーバ上の決済ページを使ってクレジットカード情報を入力する決済サービスです。カード情報保有リスクがなく接続方式の中で最もセキュアに決済が完了します。ECサイトから決済画面へのリンクを設定するだけで導入できるため、比較的スピーディーかつコストをかけず対応可能です。

【参考】PCIDSS準拠について

クレジットカード情報を「保存、処理、または伝送する」ECサイトは、年間のカード取引量に応じて、PCI DSSに準拠する必要があります。

PCIDSSは、加盟店などが、クレジットカード情報を安全に取り扱うために策定された、クレジットカード業界のセキュリティ基準です。「PCIデータセキュリティスタンダード(Payment Card Industry Data Security Standard)」の略称で、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)が運営しています。

PCIDSSに準拠するには、多額の費用と工数が必要で、中小ECサイトにとっては現実的ではありません。そこで多くの事業者が選択しているのは、クレジットカード決済をPCIDSS準拠事業者に委託する方法です。PCIDSS準拠事業者と提携し、「クレジットカード情報の非保持化」を行えば、クレジットカード情報の保護に対応したとみなされます。

PCIDSSについては下記のコラムで詳しく説明しています。

2.クレジットカード不正利用対策

クレジットカード決済のセキュリティ対策では下記の4点が重要になります。

(1)本人認証(3Dセキュア)・券面認証(セキュリティコード)

本人認証は、カード保有者がカード発行会社に事前登録したインターネット取引専用パスワードを使うことでカード所有者であることを確認し、第三者によるカードの不正使用を防止します。

券面認証は、カード券面に記載の3~4桁の数字をウェブ上で入力することで、不正使用を防止します。

DGフィナンシャルテクノロジー(DGFT、旧:ベリトランス)は、本人認証・券面認証による安全性の高いクレジットカード決済サービスを提供しています。

(2)配送先情報判別対策

過去の不正配送先を蓄積することで不正取引の判断材料に活用します。属性・行動分析と組み合わせて精度を上げることも可能です。過去の不正配送先情報を提供するサービスもあり、これらの活用も有効です。

(3)不正検知サービスの導入(属性分析)

過去の取引情報等に基づいたリスク評価によって不正取引を判定します。デバイス情報や通信情報など各種情報を組み合わせることで不正検知の精度も向上できます。

決済代行会社やベンダーが提供する不正検知サービスを導入することも有効です。DGフィナンシャルテクノロジー(DGFT、旧:ベリトランス)でも不正被害・チャージバックリスクを高い確率で抑止できる不正検知サービスを4種類提供しています。

(4)発送前の目視チェック

怪しいと思われる取引、例えば「新規購入者かつ高額注文」、「特定の注文商品」や「大量購入」などの条件で注文を抽出し、氏名、住所、メールアドレスなどを目視することも有効です。

3.ECサイトの脆弱性対策 7種類

不法侵入・書き換えの被害を防ぐためのECサイトの脆弱性対策について説明します。

(1)WAF、IDS/IPSなどのセキュリティソリューションを導入する
ソリューション名 有効範囲 対応する内容
WAF
(Web Application Firewall)
Webアプリケーションレベル SQLインジェクションやクロスサイトスクリプティング
IPS/IDS
(不正通信防御/検知システム)
サーバOS/ミドルウェアレベル DoS/DDos攻撃
OSの脆弱性
FW
(ファイアウォール)
ネットワークレベル ポートスキャン
IP/ポート制御
(2)システムやOS、ミドルウェアのアップデート

古いバージョンを使っていると、そのバージョンの脆弱性を狙った攻撃が仕掛けられる可能性があります。

(3)ID・パスワードの管理を徹底する

ID・パスワードなどを保存した重要なファイルを、サーバにアップすることは厳禁です。特定されにくいパスワード・使い回しのない固有のパスワードを設定します。

(4)社員へセキュリティ教育を行う

サイバー犯罪の脅威とリスク、その対策を知り、具体的なシステムや業務の運用手順書の遵守を実施するために、社員への教育が必要です。

(5)セキュリティ対策の有効性を確認する

自社で行っているセキュリティ対策が適切であるか、脆弱性の有無やセキュリティの問題点を定期的にチェックすることをおすすめします。

(6)個人情報を外部から閲覧できない場所に保管する

重要な個人情報を扱う場合、URLさえ知っていれば外部から誰でもアクセス・閲覧できるような状態にしておくことは望ましくありません。機密情報はWebサーバーの公開フォルダには置かず、社内ネットワークに接続しているか、ID・パスワードがなければアクセスできないようにする必要があります。

また、パスワード情報やサーバーの設定ファイル、過去にWebサイトが公開された際に残ったキャッシュなども、それらを手がかりに不正アクセスされる可能性があるため、扱いには注意が必要です。

(7)フィッシング詐欺対策も事前に講じておく

フィッシング詐欺とは、本物そっくりの偽のECサイトを作り、ユーザーからメールアドレスやパスワードなどを盗んで不正利用する手口です。フィッシング詐欺の報告件数は年々増えています。

特に最近多いのは特定のECサイトやカードブランドを騙るものですが、検索エンジンの検索結果に表示されるリスティング広告やSNS広告からフィッシングサイトや偽のECサイトに誘導されるケースも報告されているようです。

自社のECサイトの偽サイトが作られるリスクも想定して、「本物のECサイトであることを証明するためにアドレスバーやステータスバーを隠さない」、「正規のサーバー証明書を用いて常時SSL化(暗号化)する」などの対策を講じてサイトを設計・運用する必要があります。

出典:フィッシング対策協議会『2020/11 フィッシング報告状況』

ECサイトがサイバー攻撃を受け深刻な被害を受ける事故が多発していること、その防止のために必要なセキュリティ対策についてお伝えしました。

DGフィナンシャルテクノロジー(DGFT、旧:ベリトランス)ではECサイトのセキュリティ強化を含めたEC総合支援を行っています。ECサイトを立ち上げる際のセキュリティ対策をしたい方は、ぜひご相談ください。

公開日 2019/07/05、最終更新日 2021/06/22

      
セキュリティvol.2

ビジネスの成長を
DGフィナンシャルテクノロジーが
お手伝いします

ご不明な点はお気軽にお問い合わせください。
スタッフがさらに詳しくご説明します。