ここでは小売業・通販業で発生したサイバー攻撃についてリサーチ。どのような被害が発生してしたのか、またセキュリティ上の問題点や対策ガイドラインについてまとめました。
エフエム東京は公式ショッピングサイトにおいて、顧客メールアドレスが流出した可能性があることを2023年1月18日発表しました。ECサイトプラットフォームの注文管理システムに外部から不正アクセスがあり、フィッシングサイトに誘導するなりすましメールが送信された可能性も明らかにしました。また顧客には第三者による不審なメールによる再決済を行わないよう注意喚起しました。
原因は第三者の不正アクセスによるものです。エフエム東京ではクレジットカード情報を保持していなかったため、直接カード情報が流出することはありませんでしたが、メールアドレスが流出したことで、ターゲットを絞り込んだ成りすましのフィッシングメールが配信される事態となり、被害を発生させるリスクを高めてしまいました。
コスメ・スキンケア製品などを販売するSHIGETA PARIS公式オンラインストアにおいて不正アクセスがあり、顧客のクレジットカード情報(7,024件)が漏洩した可能性があることを運営会社が2023年1月23日に明らかにしました。発生したのはサイトリニューアル前の2017年10月~2022年8月でクレジットカード会社から連絡を受けて判明したものです。
不正アクセスの事実確認のために時間を要することはありますが、2017年から発生していた可能性が疑われる情報漏洩の事実が2023年になって発表というのは事情を知らない側からは遅いと思われる可能性があります。またセキュリティコードや名義人名も含むすべてのクレジットカード情報を保持していたのは、根本的な管理体制に不備があったと言わざるを得ません。
ポケットWi-Fiのレンタルサービスを提供するe-ca公式サイトにおいて、外部からの不正アクセスによる改ざんによりクレジットカード情報が流出した可能性があることを運営元のベストリンクが2023年1月11日に発表しました。同社が画面表示の最適化のために利用していたショーケース社のシステムが受けたサイバー攻撃により、情報漏洩の被害が発生した事例です。
通販サイトなどでは決済や商品表示ページなどで外部システムを利用するケースがあります。今回の事例でも外部の画面表示サービスを提供するシステムに不正アクセスがあり、クレジットカード情報が盗まれる被害につながりました。社外のシステムを利用する場合は委託会社の管理・監視を十分に行わないと発生することがあります。
【専門家監修】
脆弱性のあるWebサイトによる
サイバーセキュリティのリスクと対策
通販サイトに脆弱性があると外部からの不正アクセスを受け、サイトを改ざんされたりデータベースに登録されている顧客情報流出、マルウェアに感染するなど被害を生じます。こうしたサイバー攻撃を防ぐためにはシステムの脆弱性を認識し、セキュリティーホールを埋めたり、最新版にアップデートするなど整備することが必要です。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
不正アクセスリスクは時間経過とともに大きくなるため、さらにセキュリティレベルを高めるには予算を確保してセキュアなたウェブアプリケーションの開発を実施することが必要です。パスワード管理を徹底して高度な認証方式を導入したり、正常時の設定情報のバックアップやアクセスログ保存など、被害が最小限になるようにします。
サイバー攻撃の被害を拡大させないためには、早期発見と対処が重要です。ファイアウォール構築はもちろん、IDS(侵入検知システム)やIPS(侵入防止システム)を導入して異常があった場合に遮断できるような仕組みを作ります。また外部の専門のセキュリティベンダーにリアルタイム監視を依頼するなど、強固な体制を構築します。
業界によってサイバーセキュリティのリスクは異なりますが、ネット通販における顧客情報は攻撃者に狙われやすいことの一つ。常に脆弱性がないかチェックした上で、セキュリティ対策のOODAループを回していくことが重要です。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス