ECサイトに潜む「黒い影」 情報漏洩・不正注文リスクを防ぐポイントは?

ECサイト構築を支援するecbeing(イーシービーイング、東京都渋谷区)が2021年10月7日、「ECサイトに潜むリスクとセキュリティ対策について」をテーマに、記者勉強会をウェビナー形式で開催した。

登壇者は、同社執行役員の斉藤淳氏で、Vispa(ヴィスパ)社長の布田茂幸氏を聞き手に、気を付けるべきポイントと対応策を紹介した。

付け込まれてしまうと、代償は大きい

ecbeingの斉藤淳氏によると、ECサイトでのリスクには、大きく分けて「情報漏洩」と「不正注文」があり、どちらも密接にかかわっていると語る。

悪意を持つ人物が、脆弱性(ぜいじゃくせい)を突いて、ECサイト(仮にAとする)内に攻撃プログラムを設置し、一般ユーザーのクレジットカード情報などを収集する。そうして得られた情報を用いて、別のECサイト(B)で、ユーザーを偽った不正注文が行われる。

不正注文されたとき、偽られたユーザーには補償があるのが一般的だ。しかし、サイトBは、発送してしまった商品を取り返せない上に、売り上げも回収できない。サイトAも、ユーザーへの賠償に加えて、調査会社への依頼や、それに伴う数か月間のサイト停止など、大きな代償を強いられる。

情報漏洩の原因は、ウイルス感染や不正アクセスが半数を占め、誤表示や盗難よりも圧倒的に多いという。では、どんなところに攻撃プログラムを潜ませるのか。ECの場合は、管理画面にコードを仕込み、注文時に偽のカード入力画面へ誘導するケースが多発している。正しい入力画面が出てきても、裏から情報を盗まれているケースもあるほか、外部連携サービスからの流出もあるそうだ。

ecbeingのサービスでは、ホワイトリストにより、異常なプログラムをはじく仕組みを採用している。また一般的な対応策として、管理画面のURL変更や、パスワード・ユーザーIDの使いまわし禁止、固定IP化などを紹介。カード会社などが提供する不正検知サービスや3Dセキュアといった、不正注文を防ぐ仕組みも解説した。

画像をもっと見る

関連リンク

  • 10/12 16:15
  • J-CAST

スポンサーリンク

記事の無断転載を禁じます