［耳が痛いけど対策はこれからという人へ］ECサイトのセキュリティについてざっくりおさらい

夢が語られがちなEC、セキュリティのモンダイも直視しよう

　今回はいつもと違いネガティブ（？）な話題ですが、ECのリスクについて触れてみたいと思います。

　そもそもネットサービスの利用には、個人情報や認証情報の流出というリスクがあります。しかもECの場合、住所や電話番号といったより詳しい個人情報や、場合によってはクレジットカードなどの決済情報などもサイトに登録している場合があります。ECが普及していく上で、こうしたハードルは越えていく必要があるのは間違いありません。

　まず挙げられるのが認証情報、いわゆるIDとパスワードの流出です。IDとパスワードが流出することには主に2つの脅威が存在します。

　1つは、そのIDとパスワードが流出したサイト上でのアカウントが乗っ取られてしまうことです。 ECの場合はもちろん、オンラインバンキングやネット証券の場合にも被害は甚大です。 もう1つの脅威は、流出したIDとパスワードで「そのサイト以外のアカウント」まで乗っ取られてしまうというケースです。

　そもそも認証情報の管理は、言いかたは悪いですが、流出したことによるダメージと管理のシビアさが比例する傾向にあります。つまり流出したらまずいサイトのほうが、よりしっかりと管理しており、流出してもさほどダメージがないサイトは適当（？）な管理をしていると言えるでしょう。

ユーザーはパスワードを使いまわしているという現実

　ところが多くのユーザーは、パスワードを管理するのが面倒なこともあり、「重要なサイト」と「そうでないサイト」の認証情報を同じにしているケースがままあります。

　そうなると、そのサイト自体の認証情報は流出してもさほどダメージがない（例えばメールアドレスが漏れるなどの）場合でも、その認証情報を使って、より深刻なダメージを受けるサイトまでアカウントを乗っ取られてしまうということになります。

　極論すれば、どんなサイトの個人情報でも流出する可能性はあります。流出の原因として、内部犯行や作業ミスは多いので、システムが堅牢なだけでは流出は防げません。

　そのためにユーザーは、サイトごとにパスワードを変える、それもブルートフォースアタック（片端からパスワードを試す攻撃）に強い、長くてランダムなパスワードを使うという最低限の自衛は必ずするべきです。例えば筆者の場合、この原稿を執筆時点で200以上の認証情報がありますが、その全てが異なるパスワードになっており、14文字以上のランダムな文字列にしています。