企業の信用に直結するECサイトのセキュリティ対策

　「ネット通販」という言葉がすっかり定着した昨今。経済産業省によると、国内の消費者向け（BtoC）EC（電子商取引）市場の規模は、2018年に前年比9％増の約18兆円となり、2010年の2.3倍になった。物販系分野を対象としたEC化率は6.22％で、まだまだ成長のポテンシャルを感じさせる。


　ただし、ECサイトを運営する企業にとって大きなリスクとなっているのが、セキュリティ対策だ。ECサイトでは、これまでもサイトへのアクセスを妨害する「DDoS攻撃」や、利用者がサイトを訪れた際に不正なプログラムを作動させてウイルスなどに感染させるように細工した「水飲み場攻撃」をはじめとしたさまざまなサイバー攻撃を受けてきており、それらの対処に追われてきた。

　ECサイトにおいてセキュリティ対策がとりわけ重要なのは、住所や名前などの個人情報や、金銭をやり取りするクレジットカード情報といった重要な機密情報を取り扱うからだ。顧客情報などを狙うサイバー攻撃者が機密情報を入手できれば、クレジットカードを不正利用したり、搾取行為のために個人情報のリストを転売するなどして不正に利益を得ることができる。

　一方、ECサイトを運営する企業にとっては、セキュリティ事故が発生してしまうと金銭的な損害が発生するだけでなく、社会的な信用も失ってしまうことになる。ECサイトが使えなくなるだけでなく、場合によっては企業そのものの存亡にも関わる。そしてその脅威に、最近、新たなパターンが登場してきたという。

利用者のクレジットカード情報を詐取する巧妙な手口

　セキュリティソフトベンダー大手のトレンドマイクロでセキュリティエバンジェリストを務める岡本 勝之氏が、国内サイバー犯罪動向について説明したメディア向けセミナーで明らかにした新たな脅威は、サイトを改ざんすることによってクレジットカードなどの利用者情報を詐取しようというものだ。

　岡本氏によると、2018年に施行された改正割賦販売法により、ECサイトは顧客の決済手段として使用されるクレジットカード情報を保持することができなくなった。これにより、ECサイトからのカード情報漏えいはなくなるものと期待されたが、サイバー犯罪者はこの安全の思い込みを簡単に覆してきたという。

　ECサイトにおけるクレジットカード情報の非保持化の方法は、「JavaScript（トークン）型」と「リダイレクト（リンク）型」の2種類がある。いずれの方法であっても、ECサイト自体の改ざんにより、利用者のクレジットカード情報を奪うことは可能だという。


【次ページ】ECサイト運営者がとるべき対策は？