EC業界でセキュリティ事故が多発している。7月にサービスを開始したスマホ決済「7pay」は、不正アクセスによる被害でサービス開始からわずか1カ月で終了を宣言する異例の事態となった。4月以降はユニクロやヤマダ電機などの大手ECサイトでも不正アクセスが多発。7Payのようにサービスを終了するECサイトも出ている。なぜこのような事態に陥っているのか?2019年の上半期のセキュリティ事故を振り返った。
サイト改ざんが急増、EC業界が不正者の標的に
セキュリティ事故が多発する背景には、EC業界が不正者の標的になっていることと、すでに数十億件というレベルで個人情報が流出していることがある。そして、すでに流出している個人情報を悪用してID・パスワードを掛け合わせてログインを試みる「リスト型攻撃」が頻発し、実害も発生しているという状況だ。
(株)NTTデータが5月に発表した世界のセキュリティ動向によると、日本を含めて世界で流出した個人情報は、35億件を超えている。また、世界的に見てもECサイトが標的になっていることがわかった。こうした背景もあり、EC業界でセキュリティ事故が相次いでいる。
昨年は8月にNTTドコモの通販サイトがリスト型攻撃を受け、セキュリティ事故で史上最悪と言われる1億円規模の被害が発生した。この流れは続いているのだ。
▽ 関連記事
https://www.tsuhannews.jp/67119
https://www.tsuhannews.jp/55494
「7Pay」はセキュリティ事故で甚大な被害も
7Payの事例では、サービス開始と同時になりすましによる不正アクセスが発生し、3861万5473円の実害が発生。被害にあった人は808人に上った。ただ、7Payは昨年10月にスマホ決済「PayPay」で起きたセキュリティ事故を受けて国が定めたガイドラインの基準を満たしていなかったこともあり、危機管理の甘さが招いた事故だった。
7Payはサービスを終了することになったため、損害額は実害の約4000万円の補償に留まらず、これまでにかけてきたスマホ決済の開発費、人件費、宣伝費などをあわせると、今回の事故が招いた損失は計り知れない。何しろ、グループ内の決済手段を統一する一大プロジェクトが泡と消えたことは、セブン&アイグループ全体の戦略に影を落とし、今後の業績に与える影響も大きくなるだろう。
7Payだけでなく、セキュリティ事故が理由でECサイトが閉鎖に追い込まれる事例も出始めている。
「DLmarket」がECサイトを閉鎖
デジタルコンテンツのダウンロード販売するマーケットプレイス「DLmarket」を運営するディー・エル・マーケット(株)は、セキュリティ事故がきっかけで、6月28日に同サイトを終了した。
「DLmarket」には18年11月に外部からの不正アクセスがあり、7741件の個人情報流出が発覚した。その後、サービスの提供を停止。セキュリティ強化などの再発防止策の検討を進めていたが、サービスの再開には至らず、19年3月にサービスの終了が発表された。
▽ 関連記事
https://www.tsuhannews.jp/63790
この事例は、システムのぜい弱性をついたもので、不正者がサーバーのセキュリティを突破し、サイトを改ざんして偽の決済フォームに誘導させる手口だった。この場合、サイト利用者は不正の決済フォームか判断できないことが多い。
相次ぐ個人情報漏洩の対策として、改正割賦販売法によりECサイト側でクレジットカード情報を非保持化することが18年4月から義務づけられた。この影響でセキュリティ事故は減少。不正者はECサイトへの侵入に成功したとしても、そのサイトのデータベースからは個人情報が得られない仕様になった。しかし、カード情報の非保持化の上を行くようにして、「DLmarket」の事例のような、偽決済フォームに誘導するサイト改ざんの手口が増えている。
ディー・エル・マーケットは、サービスの再開を断念し、サイトを閉鎖した理由として、セキュリティ対策を実施するためにはECサイトを抜本的に作り直す必要があることを挙げた。中小の通販会社は、古い仕組みのシステムを使用している会社も多い。この場合、通販サイトを作り直すと数1000万円から数億円の投資が必要となることがあり、費用対効果が合わずにサービスの終了する判断をせざるを得ないケースも出てくる。
「DLmarket」の事例は、EC業界にとって見過ごすことができないものだ。同サイトのように不正アクセスを受ければ、今後は数カ月後にECサイト閉鎖や事業の終了に追い込まれる可能があるからだ。
「DLmarket」の事件以降、偽決済フォームに誘導されるセキュリティ事故は、今年の上半期でペット用品、子供服、アパレル、自動車用品、食品、家電などのECサイトで発生。19年の上半期で8件確認された。このうち、もみじまんじゅうを販売していた(株)藤い屋は、不正アクセスによるサイト改ざん事件を重く打受けとめ、自社サイトを閉鎖した。また、規模が大きかったのはヤマダ電機で、不正アクセスによりクレジットカード情報が3万7000件流出した疑いが出ている。
▽ 関連記事
https://www.tsuhannews.jp/67001
▽ 関連記事
https://www.tsuhannews.jp/67112
偽決済フォームで個人情報取得 →リスト型攻撃を実行
不正アクセスはより高度化している。偽決済フォームを通じて個人情報を取得した不正者は、不正に情報を取得したクレジットカードが停止される前に、さまざまな通販サイトを標的にして、本人になりすまして不正購入を働くのだ。ECサイトにログインする際には、専用ツールなどを利用し、さまざまなID・パスワードを掛け合わせてログインを試みるリスト型攻撃が実行される。
今年の上半期にはこの流れが実際に起きていた。サイト改ざんによる不正アクセスは、昨年の11月から今年の3月にかけて頻発したが、4月以降はリスト型攻撃が猛威を振るった。
ユニクロ公式オンラインストアとジーユー公式オンラインストアは、4月に第三者からリスト型攻撃を受けた。4月23日から5月10日に渡るアクセスで閲覧された可能性がある個人情報は46万1091件に上った。その後、家電のコジマ通販サイト、イオンカードの会員サイトにもリスト型攻撃が起きた。ユニクロとコジマの通販サイトに実害はなかったが、イオンカードの会員サイトでは2200万円の実害が発生した。
▽ 関連記事
https://www.tsuhannews.jp/66324
https://www.tsuhannews.jp/66904
https://www.tsuhannews.jp/68130
不正アクセスに気づかないケースも、公表されない事故が危険!
セキュリティ対策の専門家によると、リスト型攻撃やサイト改ざんなどの不正アクセスは、基本的にユーザー側からの指摘がないとわからないのだという。よってユニクロの事例は、なりすましログインが46万件に達していたのに、そこまで誰も気が付かなかったということになる。これは不正ログインだとばれないように、巧妙な手口でリスト型攻撃が行われていたことの証でもある。
また、この専門家は、公表されたセキュリティ事故よりも、公表されていないケースの危険性を指摘した。不正アクセスを受けていたとしても、サイト運営者や利用者の誰もが気がつかないというケースもあるのだという。例えば、不正者がサイトを偽決済フォームに改ざんしたのに、誰も気が付かなかった場合、個人情報が永久に抜かれ続けるという恐ろしい状況となる。
ではどうすれば、こうした不正アクセスに気づくことができるのだろうか? 不正対策ツールを入れることが、最も効率的なのだが、導入していない通販会社は多い。不正対策ツールを提供するA社は、「これだけ不正アクセスが起きているのに、対岸の火事として見ている会社はいまだに多い」と業界に警鐘を鳴らした。ただ、立て続けにリスト攻撃がニュースになった4月以降は、さすがに問い合わせが急増しているという。
不正があった場合の損害を補償する不正対策ツールもあり、こうした不正対策ツールは車の保険に似ている。サーバーのセキュリティは車の自賠責保険と一緒で、加入が義務づけられているもの。外部からの不正アクセスを監視・対策する不正対策ツールは、車両保険のように、何か事故が起きれば補償してくれるものもある。また、不正アクセスを監視し、不正者からの攻撃からECサイトを守ってくれる。これは車にドライブレコーダーが設置され、それを警官が常に見ていてくれているような状態だ。
不正対策ツールを入れていない無保険状態のECサイトはいまだに多い。ECサイトを狙い撃ちした偽フォームによる個人情報取得やリスト型攻撃は、今日もどこかで密かに実行されている。
(山本 剛資)
▽ 関連記事
https://www.tsuhannews.jp/70486
https://www.tsuhannews.jp/70463
https://www.tsuhannews.jp/67838
https://www.tsuhannews.jp/67213
https://www.tsuhannews.jp/70157
https://www.tsuhannews.jp/60581
この続きは、通販通信ECMO会員の方のみお読みいただけます。(登録無料)
※「資料掲載企業アカウント」の会員情報では「通販通信ECMO会員」としてログイン出来ません。
