クレジット情報流出被害に対して、Shopify等のSaaS型ECシステムが安心な理由
クレジット情報流出被害が拡大、大手コーヒーチェーンなど40社に被害
大手コーヒーチェーン「タリーズコーヒージャパン」や全国漁業協同組合連合会(全漁連)が運営する「JFおさかなマルシェ ギョギョいち」などが、ECサイトの購入フロー箇所に外部から不正プログラムを仕込まれ、クレジットカード情報を含む個人情報が流出する被害が発生しました。被害の当初の報告は11社でしたが、最新の調査では40社にも拡大していることが分かりました。(引用:https://www.nikkei.com/article/DGXZQOUE131H90T11C24A1000000/)
この攻撃手法は「ウェブスキミング」と呼ばれています。ウェブスキミングは、悪意のある第三者がECサイトに不正プログラムを設置し、ユーザーが入力するクレジットカード情報や個人情報を盗み取る行為です。この手口は、見た目では通常通りに購入手続きが進み、サイト管理者も通常の運営ができているため、発見が非常に難しいという特徴があります。
SaaS型ECシステムが安心な理由
ECサイトを開発している立場から見ても、ウェブスキミングを完全に防ぐのは簡単ではありません。しかし、SaaS型ECシステム(例:Shopify、BicCommerce等)を利用している場合、セキュリティの管理はサービス提供者側が担うため、こうした不正プログラムを仕込まれるリスクが低減します。ShopifyのようなSaaS型プラットフォームは、システムのアップデートやセキュリティパッチの適用が自動的に行われるため、利用者側での負担が軽減されるメリットがあります。
自社運営型ECサイトでのセキュリティ対策
一方、SaaS型ではない自社運営型のECサイトを利用している場合、(弊社の場合はMagentoがメイン)サイト管理者が自主的にセキュリティ対策を講じる必要があります。以下は主な対策の例です。
システムの定期的なアップデート
使用しているCMSやプラグインを最新の状態に保ち、不正アクセスのリスクを軽減します。セキュリティのアップデートは必須。サーバー自体のセキュリティ向上
ファイアウォールの設定や侵入検知システム(IDS)を導入することで、サーバーへの攻撃を防ぎます。
その他SSHをパスワード認証から鍵認証に切り替える。IP制限を掛けるなド色々できます。ウェブ改ざん検知ツールの導入
サイトに不審な変更が加えられた場合にすぐに検知できるよう、専用ツールを導入します。月数千円からのツールもありますね。第三者による定期的なセキュリティ診断
専門家にセキュリティ診断を依頼し、潜在的な脆弱性を特定して修正します。
ECサイト運営者への警鐘
今回の事例は、ECサイト運営者にとって非常に重要な教訓を提供しています。ユーザーの信頼を守るためには、セキュリティ対策を怠らず、最新の攻撃手法にも注意を払う必要があります。特にウェブスキミングのように発見が難しい攻撃に対しては、早期検知のための仕組みを取り入れることが重要です。
安全で信頼できるECサイト運営を実現するため、日々のセキュリティ対策を徹底しましょう。