セキュリティの
学び場

今回の解説ニュース

不正アクセスの被害を受けたECサイトについての調査結果が発表されています。モール型ECサイトや外部委託で開発した自社ECサイトのセキュリティで気を付けるべきポイントについて説明します。

今回の調査は、個人情報の漏えい等の報告を提出したECサイト運営事業者の不正アクセス被害に関して、原因、再発防止策、損失について、調査結果を取りまとめたものです。不正アクセスの直接的な原因として、決済画面の改ざんを引き起こす脆弱性が37%、SQLインジェクション脆弱性が31%と、ECサイト脆弱性に対する不正アクセスが多くを占めています。なお、ヒューマンエラーによるECサイトの管理者画面へのアクセス制限不備が15%となっています。

不正アクセスの発生理由として、脆弱性についての理解不足が66％、技術的ノウハウの不足が59％と、情報セキュリティに関する知識面での不足を挙げる事業者が多くみられました。不正アクセスによる損失として、約8割の事業者でECサイトを停止し、その期間として、半年以上1年未満の回答が最多となりました。具体的な損失金額は、1,000万円以上の損失が発生したと回答した事業者が4割以上あり、数億円の損失が発生した事業者もみられたということです。

不正アクセスを受けた後に、フォレンジック調査等を外部に委託した場合の費用としては、200～249万円が特に多い結果となりました。また、不正アクセスを受けて、93%の事業者でクレジットカード情報の漏えいが発生し、カード差し替えの手数料も大半の事業者が負担しており、その費用は1件あたり約2,000円との回答が6割で最多となっていたということです。

自社運用ECサイトから「モール型ECサイト」に移行する際のポイント

モール型ECサイトを利用する際のセキュリティで気を付けるポイントとして、ECサイトを更新するパソコンなどエンドポイントのセキュリティに気を付ける必要があります。

モール型ECサイトでは、そのプラットフォームやアプリケーションはモール型ECサイトを提供する事業者の責任で行われます。つまり、今回の調査で不正アクセスの直接的な原因として発表されている、SQLインジェクションやECサイトの脆弱性は、モール型ECサイトの事業者が対応を行う必要があります。

ただし、モール型でもECサイトの各ページを更新する作業は、店舗側が所有するパソコンで行う必要があります。そのパソコンがマルウェアに感染していた場合は、不正アクセスの被害にあう可能性がありますので、店舗側で対応を行う必要があります。

具体的には、ECサイトを更新する際に入力するIDやパスワードがマルウェアに盗聴されてしまい、そのアカウントが悪用されることで、顧客情報を窃取されてしまう可能性があります。対策として、パソコンのOSやソフトウェア、セキュリティ対策製品を最新バージョンへアップデートすることが店舗側に求められます。

自社と外部委託先、責任範囲の取り決めは？

自社ECサイトを外部委託先が開発する場合、脆弱性が発見された際の対応や、情報漏えいが発生した際の責任について、契約書で明文化しておく必要があります。

インシデント発生時の責任についての明示化を

自社ECサイトを開発する場合、外部の制作会社に委託することが多いのではないでしょうか。その際、発注時の要件として、脆弱性が発見された際の対応や、情報漏えいが発生した際の責任について、あらかじめ契約書に盛り込んでおくことが必要です。また、ECサイトのリリース後にインシデントが発生した際も、継続的に対応可能な保守契約を締結しておくことが有効です。

どのような要件を盛り込むべきか、参考資料も公開されている

具体的にどのような要件を盛り込むべきかについては、IPAが公開している「安全なウェブサイトの作り方」やJNSAが公開している「セキュアシステム開発ガイドライン」が参考になります。それぞれダウンロードできるURLを概要欄に書いておきますので、これから自社ECサイトなどを外部委託先で開発することを予定している方は参考にしてみてください。

今回は、モール型と自社ECサイトのセキュリティで気を付けるべきポイントについて説明しました。調査結果にもある通り、事故が起こってからでは多額の調査費用がかかってしまいますので、未然防止ができる範囲は漏れなく対策するようにしましょう。