ECサイトのサイバー攻撃が急増している今、企業はどのような対策を講じるべきでしょうか。本記事では、ECサイトに対するサイバー攻撃の種類や増加傾向、そして実際に起きた被害事例を紹介しつつ、効果的なセキュリティ対策について詳しく解説します。
サイバー攻撃とは
サイバー攻撃とは、ハッカーや悪意ある第三者がインターネットを利用してシステムやデータに不正アクセスし、情報を盗む、破壊する、または金銭を要求する行為を指します。例えば、ランサムウェア攻撃では、攻撃者がシステムをロックし、解放のために身代金を要求します。ECサイトは、多くの個人情報や決済情報を取り扱っているため、特に狙われやすい対象です。こうした攻撃を防ぐためには、強固なセキュリティ対策が欠かせません。
ランサムウェアをはじめとしたサイバー攻撃は増加傾向
ランサムウェアによる被害は年々増加しており、企業や組織はいかなる規模であっても安全ではありません。
警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」の報告によると、令和4年(2022年)以降、ランサムウェアによる被害件数は高い水準で推移しています。
参照元:警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等につい
右図はNICTが提供するサイバー攻撃関連通信数のグラフですが、2022年(約5,226億パケット)を2015年(約632億パケット)と比較するとその数は約8.3倍となっています。2020年を境に低減してはいますが、依然多くの攻撃関連通信が観測されている状態です。
※引用:NICT(国立研究開発法人 情報通信研究機構) サイバー攻撃観測網(NICTER)
ECサイトにセキュリティ対策が必要な理由
ECサイトは、多くの顧客情報やクレジットカード情報を取り扱うため、サイバー攻撃の標的になりやすいです。例えば、クレジットカード情報の不正利用が増加しており、これにより顧客は大きな損害を被る可能性があります。また、不正アクセスにより顧客の個人情報が漏洩すると、信頼を失い、ビジネスにも大きな影響を与えます。そのため、ECサイトには厳重なセキュリティ対策が必要です。
ECサイトはサイバー攻撃の標的になりやすい
ECサイトは、オンラインでの取引が多く、個人情報やクレジットカード情報を扱うため、ハッカーにとって狙いやすい標的となります。攻撃者は、このような情報を不正に取得し、金銭的利益を得ることを目指しています。
クレジットカード不正利用の増加
最近のデータでは、ECサイトにおけるクレジットカード不正利用が急増していることが示されています。ハッカーは、攻撃を通じてクレジットカード情報を取得し、不正に使用するケースが後を絶ちません。
ECサイトへの不正アクセスの増加
ECサイトに対する不正アクセスは年々増加しており、多くの企業が被害を受けています。攻撃者は、弱点を突いてシステムに侵入し、顧客情報や企業の機密情報を盗むことがあります。これに対して、企業は定期的な脆弱性診断を行い、システムの強化を図る必要があります。
下記の記事は不正アクセスの被害事例をまとめたものになります。
ECサイトで実際に起きたサイバー攻撃事例
ここでは、実際に起きたサイバー攻撃の被害事例をいくつかご紹介いたします。
| 公表月 | 教育機関 種類 | 概要 |
|---|---|---|
| 2024年2月 | なかほら牧場 ‐なかほら牧場オンラインストア ※参照:同社公式HP | ークレジットカード情報5,069件分のデータ窃取かー 山地酪農乳牛の生産や飼育を行う「なかほら牧場」において、運営する「なかほら牧場オンラインストア」が不正アクセスを受けたという。 不正アクセスは2021年4月22日から2023年7月11日までの期間続いており、顧客のクレジットカード情報や個人情報が窃取された可能性が懸念されている。 発覚経緯として2023年9月8日にクレジットカード会社から、「なかほら牧場オンラインストア」の旧サイトを利用した顧客情報が流出しているとの連絡が入り問題が浮上した。 調査の結果、旧サイトの一部システムに脆弱性があり、第三者による不正アクセスとペイメントアプリケーションの改ざんが行われていたことが判明。 これにより、顧客のクレジットカード情報5,069件分が窃取されたとのことで、カード名義人名、カード番号、有効期限、セキュリティコードが該当。 14,933名の顧客においては、氏名、住所、注文内容、メールアドレス、会員番号、電話番号などが被害対象とみられている。 |
| 2024年4月 | 有限会社なごみ ‐味市春香なごみオンラインショップ ※参照:同社公式HP | ー利用者16,407名分のクレジットカード情報流出のおそれー 同サイト運営の「なごみ」社によると、2023年6月1日にクレジットカード会社から、「味市春香なごみオンラインショップ」を利用した顧客情報が流出している可能性があるとの連絡があり問題が浮上。 サイト内でのクレジットカード決済を停止し、第三者調査機関による調査が開始された。 調査の結果、2021年1月27日から2023年5月15日の期間に、同サイト利用者のクレジットカード情報が流出し、一部ではクレジットカード情報が不正利用された可能性も判明している。 影響が懸念されている情報として、サイト利用者16,407名分のクレジットカード情報が該当するとのことで、名義人名、クレジットカード番号、有効期限、セキュリティコードのほか、氏名、住所、メールアドレス、電話番号といった個人情報も含まれていたとみられている。 原因としては、サイトシステムにおいて脆弱性が見つかっており、これを攻撃者に悪用されたことで不正アクセスされたとみられている。 攻撃者は不正アクセスによりシステムに侵入後、ペイメントアプリケーションを改ざんし、顧客のクレジットカード情報を窃取したとされている。 |
| 2024年5月 | 松井酒造合名会社 ‐松井酒造合名会社 ECサイト ※参照:同社公式HP | ー顧客174名分のクレジットカード情報流出かー 酒の製造販売業を行う「松井酒造合名会社」において、自社ECサイトが第三者による不正アクセスを受け、顧客のクレジットカード情報が流出した可能性を発表した。 2023年9月20日、カード決済代行会社からの通報により、不正アクセスの可能性が判明。 松井酒造は即座にカード決済を停止し、管理パスワードの変更やサーバーへのアクセス制限を実施し、第三者調査機関による調査を開始している。 調査の結果、旧ECサイトに不正アクセスが行われ、不正なファイルが設置されていたことが確認された。 当該不正アクセスで影響を受けた顧客は174名で、クレジットカード番号、有効期限、セキュリティコード、メールアドレス、パスワード、データベース上の任意情報などのデータが窃取されたとみられている。 |
| 2024年5月 | 株式会社岸和田スポーツ ‐Kemari87KISHISPO公式通販サイト ※参照:同社公式HP | ー計52,543名のユーザー情報流出 システムの脆弱性悪用かー スポーツ用品の販売企業「岸和田スポーツ」社において、第三者による不正アクセス被害が発生。 これにより顧客のクレジットカード情報や個人情報が流出した可能性があるという。 被害が確認されているのは岸和田スポーツが運営する「Kemari87KISHISPO公式通販サイト」で、事態の経緯として、クレジットカード会社からの連絡から、サイト利用者のクレジットカード情報の流出が判明した。 岸和田スポーツは即座にカード決済を停止し、第三者調査機関による調査を開始したところ、2021年2月24日から2024年1月17日の期間において、購入者のクレジットカード情報および個人情報が流出したとみられている。 調査によると、不正アクセスは2021年2月21日から2021年2月24日の間に行われた不正注文が起点となったとされており、システムの一部の脆弱性が利用され、注文データの参照や不正なプログラムが実行されたと説明されている。 公表時点で判明している影響対象として、カード名義人名、クレジットカード番号、有効期限、セキュリティコード、氏名、メールアドレス、住所、電話番号などのクレジットカードおよび個人情報が該当するとのこと。 被害規模は、クレジットカード情報13,879名分と個人情報38,664名で合計は52,543名とされている。 |
| 2024年5月 | 株式会社ジョイフル本田 ‐THE GLOBE・OLD FRIEND オンラインショップ ※参照:同社公式HP | ー顧客20,132名以上の情報流出の可能性ー 同サイト運営の「ジョイフル本田」社によると、2024年1月18日に実施したセキュリティ調査により情報流出の可能性が判明したという。 サイト内のカード決済を停止して調査したところ、利用者の情報流出が判明している。 影響対象は2021年3月17日から2024年1月18日に「THE GLOBE・OLD FRIEND オンラインショップ」でクレジットカード決済をされた利用した3,958名の顧客。 流出したとみられているのはカード名義人名、クレジットカード番号、有効期限、セキュリティコード、カード会員メールアドレスとのこと。 また、個人情報も流出対象とみられており、サイトオープンから2024年1月22日までに同サイトを利用した20,132名の顧客。 流出したとみられているのは氏名、住所、電話番号、メールアドレス、購入履歴、FAX番号、会社名、性別、職業、誕生日、ご利用店舗などで、サイト利用時のIDとパスワード情報なども該当している。 |
| 2024年5月 | 株式会社インテンス ‐ショップサイト「fofo」 ※参照:同社公式HP | ー顧客15,198名分のクレジットカード情報が流出した可能性ー 同サイト運営のインテンス社によると、被害が判明したのは2023年9月13日にクレジットカード会社から「fofo」を利用した顧客のクレジットカード情報流出を懸念する連絡を受けたことによるもの。 その後第三者調査機関による調査で、2020年12月24日から2023年12月8日の間に同サイトで購入した顧客15,198名分のクレジットカード情報が流出した可能性が確認されている。 流出対象とされているデータには、顧客のクレジットカード番号、有効期限、セキュリティコード、会員氏名、ログイン情報などが該当するという。 攻撃者は同サイトのシステムの脆弱性を利用し、リモートのサーバー上でコマンドを実行するプログラム(WebShell)による不正操作を実行して情報を窃取していたとみられている。 |
行うべきサイバーセキュリティ対策
まずは脆弱性診断
サイバーセキュリティ対策の第一歩として、脆弱性診断を行うことが重要です。脆弱性診断では、システムの弱点や潜在的な脅威を特定し、修正するための具体的な対策を講じます。これにより、攻撃者が利用する可能性のあるセキュリティホールを事前に防ぐことができます。定期的な脆弱性診断を行うことで、システムの安全性を高めることができます。
高度なセキュリティツールの導入
ECサイトのセキュリティを強化するためには、高度なセキュリティツールの導入が不可欠です。具体的には、次世代ファイアウォール、侵入検知・防止システム、そしてエンドポイントプロテクションツールなどがあります。これらのツールを使用することで、不正アクセスの検出と防止が可能となり、サイト全体のセキュリティレベルを向上させることができます。
ソフトウェアを常に最新の状態に保つ
セキュリティ対策として、使用しているソフトウェアを常に最新の状態に保つことも重要です。ソフトウェアの更新には、セキュリティパッチが含まれており、既知の脆弱性を修正するためのものです。定期的なアップデートを怠ると、古いバージョンのソフトウェアには攻撃者が利用する脆弱性が残っている可能性があり、重大なセキュリティリスクを引き起こす可能性があります。
従業員のセキュリティ意識向上のためのトレーニング
ECサイトのセキュリティを強化するためには、従業員のセキュリティ意識を向上させるトレーニングが必要です。従業員がセキュリティに関する最新の情報を理解し、適切な行動を取ることができるようにすることで、内部からの攻撃や情報漏洩のリスクを減少させることができます。特に、フィッシング攻撃やマルウェアの防止に関する知識を深めることで、全体のセキュリティレベルを向上させることが可能です。
インシデント発生時の対応
インシデントが発生した場合の対応策を事前に準備しておくことも重要です。迅速かつ適切な対応を行うことで、被害を最小限に抑えることができます。例えば、攻撃を受けた際の連絡体制や、データバックアップの復元手順などを明確にしておくことで、実際にインシデントが発生した場合でも冷静に対応することができます。
アクトのサイバーセキュリティ対策支援
アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR(SentinelOne、Cybereason)のおまかせ運用を実現します。
アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。
また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR+SOC+簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。
