SOMPO CYBER SECURITY
新型コロナウイルス感染拡大の影響で実店舗での買い物が制限され、ショッピングサイト(ECサイト)の存在感が増大しました。Webサイトで販売を行う企業にとっては販売機会の拡大となり、喜ばしい面が大きいですが、注意しなければならないのがサイバー攻撃による顧客情報の漏えいです。
サイバー攻撃者が狙うのは攻撃のハードルが低いところであり、脆弱性がそのまま放置されているショッピングサイト(ECサイト)は格好のターゲットになります。
本コラムでは、ショッピングサイト(ECサイト)で脆弱性診断が必要な理由や実際に過去に起きたインシデント事例をご紹介いたします。
(2024.2.6更新)
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
企業が運営するWebサイトには、コーポレートサイトやサービスサイト、採用サイトなどさまざまなタイプがありますが、なかでも特に、ショッピングサイト(ECサイト)の脆弱性への対策が重要です。
なぜなら、ECサイトのサーバーには顧客の個人情報が保存されている場合が多いからです。
特にクレジットカード情報などが漏えいすれば、不正利用の恐れがあります。決済関連の情報以外であっても、個人情報が漏えいすれば賠償責任問題へ発展する可能性がありますし、そうでなくてもブランドイメージや企業への信頼が失墜するでしょう。
昨今はECサイトでの取引が増加しています。
IPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威(個人)2024」ではECサイトに関連する脅威がランクインしています。
このような理由から、ショッピングサイト(ECサイト)では脆弱性診断を行い、情報漏えいなどのインシデントが発生する前に脆弱性に対処しておく必要があります。
ECサイトにおける脆弱性では「Webアプリケーション」「OS・ミドルウェア」「ネットワーク」などをチェックする必要があります。
なかでも「Webアプリケーション」の脆弱性診断が重要です。
Webアプリケーションとは、ソフトウェアをインストールして利用するネイティブアプリとは異なり、Webブラウザ上で動作するソフトウェアのことです。
ECサイトでは、カート機能などを始めとした決済部分でWebアプリケーションを導入していることが多いでしょう。
Webアプリケーションをまったく利用していないECサイトでない限り、Webアプリケーションの脆弱性診断は必要です。
なぜなら、Webサイトに脆弱性があることで、そこを糸口としてサイバー攻撃を受けてしまい、先ほど述べたように個人情報・クレジットカード情報などの漏えいにつながるためです。
実店舗でいえば、Webアプリケーションは「レジ」に相当し、OS・ミドルウェアやネットワークは「店舗」に当たります。もちろん、店の裏口の鍵が壊れていたり窓の建付け悪くてきちんと閉まらない店舗が泥棒や空き巣に入られてしまうように、OS・ミドルウェアやネットワークにも脆弱性があるのは良くないことです。
ただ、実店舗でお金や帳簿は金庫にしまわれているように、多くの組織では重要情報にアクセスできる人は権限を付与された限られた人であったり、比較的、安全性の高いところに格納されていたりします。そのため、脆弱性があっても漏えいには直結しづらいといえます。
一方、Webアプリケーションに脆弱性があるということは、お客さまが直接触るセルフレジで、特定の操作をすると「お釣りがどんどん出てくる」「前に使った人のクレジットカード情報が印刷されて出てくる」といった想定していなかった操作が行えてしまう、というイメージです。Webアプリケーションにおける脆弱性診断の重要性をご理解いただけたのではないでしょうか。
もし、脆弱性診断を行わず、ECサイトで利用しているWebアプリケーションの脆弱性が放置されたままになっていれば、サイバー攻撃者にとって格好のターゲットとなります。
実際に情報が漏えいしてしまえば、クレジットカード情報を始めとする顧客の個人情報が不正利用される恐れがあります。そうなれば、顧客に対しての謝罪はもちろん、賠償金を支払わなければならない可能性も出てきます。また、情報漏えいについての事後調査を行う必要があり、調査が済むまでECサイトは閉鎖することになります。その間の機会損失も少なくありません。
そして、ECサイトや企業に対する顧客や世間の信頼感を失い、ブランドイメージも低下するでしょう。
脆弱性診断を実施せずにインシデントが起きてしまえば、顧客に迷惑をかけるだけでなく、自社にとってもさまざまな被害が起きてしまうのです。
実際にショッピングサイト(ECサイト)でどのようなインシデント(事故)が起きているのか、最近発覚した事例を見てみましょう。
健康食品や化粧品などを取り扱う企業で、同社が運営するオンラインショップが脆弱性を攻撃されて不正アクセスを受け、同ショップで2021年1月から2023年11月にかけてクレジットカード決済を利用した5193名のクレジットカード情報および氏名・住所・メールアドレス・電話番号・生年月日・性別等の個人情報が流出した可能性が生じました。
同社は、カード決済機能を停止した上で調査を実施しました。攻撃は、クロスサイトスクリプティングの脆弱性を狙った不正アクセスと判明しました。
醤油等食品を取り扱う企業で、同社が運営するオンラインショップのサーバーが不正アクセスを受け、顧客の個人情報が流出した可能性が生じました。
事態を受けて、同社は調査を進めるとともに、再発防止策を進めています。
マタニティーケア用品を取り扱う企業が運営するECサイトで、脆弱性を悪用したクロスサイトスクリプティング攻撃が行われ、ペイメントアプリケーションが改ざんされて顧客の個人情報とクレジットカード情報が漏えいし、一部のカード情報は不正利用された可能性が生じました。
2021年7月に、管理対象外のファイルが見つかり、クロスサイトスクリプティングの記述のある不審な注文が確認されたといいます。即日、同サイトを停止し、第三者調査機関による調査を行ったところ、同サイトのシステムの一部脆弱性を悪用した不正アクセスにより、ペイメントアプリケーションの改ざんが行われ、これが原因で購入者の個人情報及びクレジットカード情報が漏えいし、一部については不正利用の可能性もあることがわかりました。
薬局の公式オンラインショップから、同ショップや店頭の利用者の個人情報などが漏えいしました。
2011年3月から2021年8月に同ショップを利用した顧客の氏名や住所、電話番号などの個人情報が流出したほか、2021年3月から8月にかけてのオンラインショップ利用者のクレジットカード情報、2018年から2019年のクリスマスケーキなどの予約者の個人情報などが流出。
オムニチャネル対応の「オムニECシステム」を利用している同ショップの脆弱性が悪用され、数回にわたる不正アクセスでデータベースからの情報流出やペイメントアプリケーションの改ざんが行われたといいます。
家具販売を手がける企業が運営するオンラインショップの脆弱性が攻撃され、2021年3月から6月に同ショップでクレジットカード決済を利用した顧客のクレジットカード情報が流出している可能性が生じました。
2021年6月に同ショップの保守管理を委託していた企業からクレジットカード情報の流出の可能性について指摘を受け、同ショップを閉鎖した上で第三者調査機関に調査を依頼したところ、同ショップの脆弱性を悪用して決済フォームが改ざんされていた事実が発覚したといいます。
ドッグウェアを取り扱う企業で、同社が運営するドッグウェアの通販サイトが脆弱性を悪用して決済システムを改ざんされ、93名のクレジットカード情報が流出した可能性が生じました。
2021年7月に、システム保守会社からカード情報流出の可能性を指摘され、第三者調査機関を通じてフォレンジック調査を実施。脆弱性を利用して情報窃取を目的に決済システムを改ざんされたことが発覚したといいます。
名古屋で紳士服などを取り扱う企業で、同社が運営する服飾関係オンラインショップが脆弱性を攻撃されて不正アクセスを受け、同ショップで2020年8月から2021年2月にかけてクレジットカード決済を利用した206名のクレジットカード情報が流出した可能性が生じました。
同社は、カード決済機能を停止した上で同ショップを閉鎖。リニューアルを行いましたが、サイバー攻撃者により決済機能の改ざんが行われており、206名のクレジットカード情報流出のリスクについては依然として残るといいます。
ECにおける脆弱性診断の対象にはOSやミドルウェア、Webアプリケーション、ネットワークなどがありますが、特に実店舗でいうとレジに相当するWebアプリケーションに脆弱性があると、個人情報やクレジットカード情報といった顧客の重要な情報の漏えいに直結しやすいため、必ず行っておきたいものです。診断で発見された脆弱性については、対策を行う必要があります。
これまで脆弱性対応の難しさと脆弱性診断の必要性について述べてきましたが、SOMPO CYBER SECURITYでは、今回ご紹介したWebアプリケーションの診断をはじめ、組織のネットワークやサーバーといったオンプレミスインフラの診断から、IaaSやSaaSといった各種クラウドインフラの診断まで、多様な脆弱性を診断するサービスをご提供しており、顧客情報や金銭を扱う機会の多い金融機関様にて多数ご採用いただいております。
特に、Webアプリケーションの脆弱性診断は、安価に幅広い範囲を診断するサービスからエンジニアが手作業で深い診断を行うサービスまでご提供しており、お客様ニーズにマッチしたサービスが見つかるかと思います。
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年4月 2024.4.17追記本記事公開後、当該脆弱性の悪用条件等の更新が行われています。最新の情報はP...
サプライチェーンリスク評価サービス『Panorays』の採用事例として、株式会社ダイフクさまにお話をうかがいました。 近未来を想像させる大阪市内にある真新しい本社ビルで、サプライチェーンリスク評価サービス『Panorays』の採用事例の取材をさせて頂いたのは、日本国内外でビジネスを大きく成長させている製造大手の株式会社ダイフクさまです。実際の運用はまだこれからという段階であり、採用に至った背景や理...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年3月 先般、自称ハクティビストグループであるAnonymous Sudanが新DDoS攻撃サービス「I...
当社が提供するサイバーリスクアセスメントやPanoraysを使った組織のセキュリティ態勢改善の事例を紹介します。 インシデントは対岸の火事ではないと理解し対策に乗り出す組織、理解しているもののどこから手を付けてよいかわからない組織、やるべきことはわかっているものの上層部の理解が得られない組織など、どの状況のどのフェーズにいても、参考になる材料が必ず見つかると感じるお話をDX認定事業者でもある応用地...