ECサイトでのカード情報漏洩事件が後を絶たない
近年、ECサイトを狙ったサイバー攻撃によるクレジットカード情報の漏洩事件が相次いでいます。2024年10月、大手コーヒーチェーン「タリーズコーヒー」の公式オンラインストアから約5万3000件のクレジットカード情報が流出した可能性があると発表されました。この事件をきっかけに、改めてECサイトのセキュリティ対策の重要性が注目されています。
本記事では、タリーズの事例を中心に、ECサイトを狙った攻撃手法である「ペイメントアプリケーションの改ざん」について解説し、企業や消費者が取るべき対策について考えていきます。
ペイメントアプリケーション改ざんとは
ペイメントアプリケーションの改ざんとは、ECサイトの決済システムを不正に改変し、ユーザーが入力したクレジットカード情報を盗み取る手法です。具体的には以下のような流れで攻撃が行われます:
- 攻撃者がECサイトの脆弱性を突いて不正アクセスを行う
- カード情報入力フォームを改ざんし、悪意のあるJavaScriptコードを埋め込む
- ユーザーがカード情報を入力すると、正規の処理と並行して攻撃者のサーバーにも情報が送信される
この手法の特徴は、通常の決済処理は正常に行われるため、被害の発覚が遅れやすい点です。また、カード番号だけでなく、セキュリティコードまで盗まれるため、不正利用のリスクが非常に高くなります。
タリーズの事例では、約3年間にわたって不正アクセスが続いていたと見られており、長期間の情報流出によって被害が拡大したものと考えられます。
なぜECサイトが狙われるのか
ECサイトが攻撃の標的となりやすい理由としては、以下のような点が挙げられます:
大量のカード情報を一度に入手できる: 人気のECサイトであれば、日々多くの決済が行われているため、効率的に情報を収集できます。
脆弱性が広く知られている: 特に中小企業では、オープンソースのECパッケージを利用していることが多く、その脆弱性が攻撃者に熟知されています。
非保持化の限界: 2018年の改正割賦販売法により、多くのECサイトがカード情報の非保持化を選択しましたが、これは情報漏洩時の被害を最小限に抑える効果はあるものの、不正アクセス自体を防ぐものではありません。
経済産業省の報告によれば、非保持化により1件あたりの漏洩件数は減少したものの、漏洩事案自体は増加傾向にあるとのことです。つまり、根本的な解決には至っていないのが現状です。
ECサイト運営者が取るべき対策
ECサイトを運営する企業が取るべき対策として、以下のようなポイントが挙げられます:
脆弱性対策の徹底: 定期的なセキュリティアップデートやパッチ適用を行い、既知の脆弱性を塞ぐことが重要です。
WAFの導入: Web Application Firewall(WAF)を導入し、不正なアクセスや攻撃を検知・遮断する仕組みを整えましょう。
改ざん検知の実施: 定期的にウェブサイトの改ざんチェックを行い、不正なコードが埋め込まれていないか確認します。
PCI DSS準拠: カード業界のセキュリティ基準であるPCI DSSに準拠することで、より高度なセキュリティ体制を構築できます。
セキュリティ監査の実施: 第三者機関によるセキュリティ監査を定期的に受け、客観的な視点で自社のセキュリティ状況を評価することが大切です。
インシデント対応計画の策定: 万が一の情報漏洩に備え、迅速かつ適切な対応ができるよう、事前に計画を立てておきましょう。
特に今回のようなケースは5のセキュリティ監査の実施を定期的にして、脆弱性診断をしていれば防げた可能性は高いと思われます。
消費者が取るべき注意点
一方、ECサイトを利用する消費者側でも、以下のような点に注意することで被害を最小限に抑えることができます:
信頼できるサイトの利用: 知名度の高い大手ECサイトや、セキュリティ対策が明記されているサイトを利用しましょう。
クレジットカード明細のチェック: 定期的に利用明細をチェックし、身に覚えのない請求がないか確認します。
クレジットカード会社の不正利用補償の確認: 利用しているカード会社の不正利用補償制度を事前に確認しておきましょう。
二段階認証の利用: 可能であれば、クレジットカードの利用時に二段階認証を設定し、不正利用のリスクを軽減します。
バーチャルカードの活用: オンライン専用の使い捨てカード番号(バーチャルカード)を利用することで、実際のカード情報の露出を防ぐことができます。
まとめ
ECサイトを狙ったカード情報漏洩事件は、今後も続く可能性が高いと考えられます。企業側は継続的なセキュリティ対策の強化と、迅速な問題検知・対応体制の構築が求められます。一方、消費者も自身を守るための知識と対策を身につけることが大切です。
オンラインショッピングの利便性を享受しつつ、安全に利用するためには、企業と消費者双方の意識向上と適切な対策が不可欠です。今回のタリーズの事例を教訓に、ECサイトのセキュリティ対策がさらに進化することを期待しています。