ECサイト構築を支援するecbeing(イーシービーイング、東京都渋谷区)が2021年10月7日、「ECサイトに潜むリスクとセキュリティ対策について」をテーマに、記者勉強会をウェビナー形式で開催した。
登壇者は、同社執行役員の斉藤淳氏で、Vispa(ヴィスパ)社長の布田茂幸氏を聞き手に、気を付けるべきポイントと対応策を紹介した。
付け込まれてしまうと、代償は大きい
ecbeingの斉藤淳氏によると、ECサイトでのリスクには、大きく分けて「情報漏洩」と「不正注文」があり、どちらも密接にかかわっていると語る。
悪意を持つ人物が、脆弱性(ぜいじゃくせい)を突いて、ECサイト(仮にAとする)内に攻撃プログラムを設置し、一般ユーザーのクレジットカード情報などを収集する。そうして得られた情報を用いて、別のECサイト(B)で、ユーザーを偽った不正注文が行われる。
不正注文されたとき、偽られたユーザーには補償があるのが一般的だ。しかし、サイトBは、発送してしまった商品を取り返せない上に、売り上げも回収できない。サイトAも、ユーザーへの賠償に加えて、調査会社への依頼や、それに伴う数か月間のサイト停止など、大きな代償を強いられる。
情報漏洩の原因は、ウイルス感染や不正アクセスが半数を占め、誤表示や盗難よりも圧倒的に多いという。では、どんなところに攻撃プログラムを潜ませるのか。ECの場合は、管理画面にコードを仕込み、注文時に偽のカード入力画面へ誘導するケースが多発している。正しい入力画面が出てきても、裏から情報を盗まれているケースもあるほか、外部連携サービスからの流出もあるそうだ。
ecbeingのサービスでは、ホワイトリストにより、異常なプログラムをはじく仕組みを採用している。また一般的な対応策として、管理画面のURL変更や、パスワード・ユーザーIDの使いまわし禁止、固定IP化などを紹介。カード会社などが提供する不正検知サービスや3Dセキュアといった、不正注文を防ぐ仕組みも解説した。