%{FACEBOOKSCRIPT}%
  1. HOME
  2. コラム
  3. 脆弱性診断
  4. ショッピングサイト(ECサイト)で脆弱性診断を行う必要性とは?

ショッピングサイト(ECサイト)で脆弱性診断を行う必要性とは?

  • LINEで送る
  • このエントリーをはてなブックマークに追加
ショッピングサイト(ECサイト)で脆弱性診断を行う必要性とは?

新型コロナウイルス感染拡大の影響で実店舗での買い物が制限され、ショッピングサイト(ECサイト)の存在感が増大しました。Webサイトで販売を行う企業にとっては販売機会の拡大となり、喜ばしい面が大きいですが、注意しなければならないのがサイバー攻撃による顧客情報の漏えいです。

サイバー攻撃者が狙うのは攻撃のハードルが低いところであり、脆弱性がそのまま放置されているショッピングサイト(ECサイト)は格好のターゲットになります。

本コラムでは、ショッピングサイト(ECサイト)で脆弱性診断が必要な理由や実際に過去に起きたインシデント事例をご紹介いたします。

ECサイトでなぜ脆弱性診断が必要か?

企業が運営するWebサイトには、コーポレートサイトやサービスサイト、採用サイトなどさまざまなタイプがありますが、なかでも特に、ショッピングサイト(ECサイト)の脆弱性への対策が重要です。

なぜなら、ECサイトのサーバーには顧客の個人情報が保存されている場合が多いからです。
特にクレジットカード情報などが漏えいすれば、不正利用の恐れがあります。決済関連の情報以外であっても、個人情報が漏えいすれば賠償責任問題へ発展する可能性がありますし、そうでなくてもブランドイメージや企業への信頼が失墜するでしょう。

昨今は、新型コロナウイルス感染拡大の影響でECサイトでの取引が増加しています。
また、毎年、IPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威」によれば、2021版では「クレジットカード情報の不正利用」が5位にランクインしています※2。

このような理由から、ショッピングサイト(ECサイト)では脆弱性診断を行い、情報漏えいなどのインシデントが発生する前に脆弱性に対処しておく必要があります。

※2 情報セキュリティ10大脅威 2021

ECサイトで使われる「Webアプリ」とは?

ECサイトにおける脆弱性では「Webアプリケーション」「OS・ミドルウェア」「ネットワーク」などをチェックする必要があります。

なかでも「Webアプリケーション」の脆弱性診断が重要です。
Webアプリケーションとは、ソフトウェアをインストールして利用するネイティブアプリとは異なり、Webブラウザ上で動作するソフトウェアのことです。
ECサイトでは、カート機能などを始めとした決済部分でWebアプリケーションを導入していることが多いでしょう。

Webアプリケーションをまったく利用していないECサイトでない限り、Webアプリケーションの脆弱性診断は必要です。

なぜなら、Webサイトに脆弱性があることで、そこを糸口としてサイバー攻撃を受けてしまい、先ほど述べたように個人情報・クレジットカード情報などの漏えいにつながるためです。

実店舗でいえば、Webアプリケーションは「レジ」に相当し、OS・ミドルウェアやネットワークは「店舗」に当たります。もちろん、店の裏口の鍵が壊れていたり窓の建付け悪くてきちんと閉まらない店舗が泥棒や空き巣に入られてしまうように、OS・ミドルウェアやネットワークにも脆弱性があるのは良くないことです。

ただ、実店舗でお金や帳簿は金庫にしまわれているように、多くの組織では重要情報にアクセスできる人は権限を付与された限られた人であったり、比較的、安全性の高いところに格納されていたりします。そのため、脆弱性があっても漏えいには直結しづらいといえます。
一方、Webアプリケーションに脆弱性があるということは、お客さまが直接触るセルフレジで、特定の操作をすると「お釣りがどんどん出てくる」「前に使った人のクレジットカード情報が印刷されて出てくる」といった想定していなかった操作が行えてしまう、というイメージです。Webアプリケーションにおける脆弱性診断の重要性をご理解いただけたのではないでしょうか。

インシデントが起きると、どうなる?

もし、脆弱性診断を行わず、ECサイトで利用しているWebアプリケーションの脆弱性が放置されたままになっていれば、サイバー攻撃者にとって格好のターゲットとなります。

実際に情報が漏えいしてしまえば、クレジットカード情報を始めとする顧客の個人情報が不正利用される恐れがあります。そうなれば、顧客に対しての謝罪はもちろん、賠償金を支払わなければならない可能性も出てきます。また、情報漏えいについての事後調査を行う必要があり、調査が済むまでECサイトは閉鎖することになります。その間の機会損失も少なくありません。
そして、ECサイトや企業に対する顧客や世間の信頼感を失い、ブランドイメージも低下するでしょう。

脆弱性診断を実施せずにインシデントが起きてしまえば、顧客に迷惑をかけるだけでなく、自社にとってもさまざまな被害が起きてしまうのです。


ECサイトにおけるインシデント事例

実際にショッピングサイト(ECサイト)でどのようなインシデント(事故)が起きているのか、最近発覚した事例を見てみましょう。

個人情報とクレジットカード情報漏えいの可能性

マタニティーケア用品を取り扱う企業が運営するECサイトで、脆弱性を悪用したクロスサイトスクリプティング攻撃が行われ、ペイメントアプリケーションが改ざんされて顧客の個人情報とクレジットカード情報が漏えいし、一部のカード情報は不正利用された可能性が生じました。

2021年7月に、管理対象外のファイルが見つかり、クロスサイトスクリプティングの記述のある不審な注文が確認されたといいます。即日、同サイトを停止し、第三者調査機関による調査を行ったところ、同サイトのシステムの一部脆弱性を悪用した不正アクセスにより、ペイメントアプリケーションの改ざんが行われ、これが原因で購入者の個人情報及びクレジットカード情報が漏えいし、一部については不正利用の可能性もあることがわかりました。

クレジットカード情報と過去10年分の顧客情報が漏えい

薬局の公式オンラインショップから、同ショップや店頭の利用者の個人情報などが漏えいしました。

2011年3月から2021年8月に同ショップを利用した顧客の氏名や住所、電話番号などの個人情報が流出したほか、2021年3月から8月にかけてのオンラインショップ利用者のクレジットカード情報、2018年から2019年のクリスマスケーキなどの予約者の個人情報などが流出。

オムニチャネル対応の「オムニECシステム」を利用している同ショップの脆弱性が悪用され、数回にわたる不正アクセスでデータベースからの情報流出やペイメントアプリケーションの改ざんが行われたといいます。

クレジットカード情報140件が流出の可能性

家具販売を手がける企業が運営するオンラインショップの脆弱性が攻撃され、2021年3月から6月に同ショップでクレジットカード決済を利用した顧客のクレジットカード情報が流出している可能性が生じました。

2021年6月に同ショップの保守管理を委託していた企業からクレジットカード情報の流出の可能性について指摘を受け、同ショップを閉鎖した上で第三者調査機関に調査を依頼したところ、同ショップの脆弱性を悪用して決済フォームが改ざんされていた事実が発覚したといいます。

クレジットカード情報93件が流出の可能性

ドッグウェアを取り扱う企業で、同社が運営するドッグウェアの通販サイトが脆弱性を悪用して決済システムを改ざんされ、93名のクレジットカード情報が流出した可能性が生じました。

2021年7月に、システム保守会社からカード情報流出の可能性を指摘され、第三者調査機関を通じてフォレンジック調査を実施。脆弱性を利用して情報窃取を目的に決済システムを改ざんされたことが発覚したといいます。

クレジットカード情報206件が流出の可能性

名古屋で紳士服などを取り扱う企業で、同社が運営する服飾関係オンラインショップが脆弱性を攻撃されて不正アクセスを受け、同ショップで2020年8月から2021年2月にかけてクレジットカード決済を利用した206名のクレジットカード情報が流出した可能性が生じました。

同社は、カード決済機能を停止した上で同ショップを閉鎖。リニューアルを行いましたが、サイバー攻撃者により決済機能の改ざんが行われており、206名のクレジットカード情報流出のリスクについては依然として残るといいます。

なぜECサイトで脆弱性診断が必要か?まとめ

ECにおける脆弱性診断の対象にはOSやミドルウェア、Webアプリケーション、ネットワークなどがありますが、特に実店舗でいうとレジに相当するWebアプリケーションに脆弱性があると、個人情報やクレジットカード情報といった顧客の重要な情報の漏えいに直結しやすいため、必ず行っておきたいものです。診断で発見された脆弱性については、対策を行う必要があります。

これまで脆弱性対応の難しさと脆弱性診断の必要性について述べてきましたが、SOMPO CYBER SECURITYでは、今回ご紹介したWebアプリケーションの診断をはじめ、組織のネットワークやサーバーといったオンプレミスインフラの診断から、IaaSやSaaSといった各種クラウドインフラの診断まで、多様な脆弱性を診断するサービスをご提供しており、顧客情報や金銭を扱う機会の多い金融機関様にて多数ご採用いただいております。

特に、Webアプリケーションの脆弱性診断は、安価に幅広い範囲を診断するサービスからエンジニアが手作業で深い診断を行うサービスまでご提供しており、お客様ニーズにマッチしたサービスが見つかるかと思います。

キャンペーンのお知らせ

現在、ショッピングサイト(ECサイト)をお持ちの事業者様向けに、トラブルが起きては困るホリデーシーズンから年明けの閑散期に向けて脆弱性診断をお得に実施できるキャンペーンを2月28日まで実施中です。詳細はこちらをご覧ください。

関連情報

脆弱性診断サービスラインナップ

Webサイトの脆弱性診断に関するお客様からのよくあるご質問

脆弱性診断レポート2021

  • LINEで送る
  • このエントリーをはてなブックマークに追加