顧客を守るはずが被害に加担する側に ウェブスキミングの脅威
3Dセキュア2.0は、決済時の本人認証によって不正利用を防ぐ有効な手段だが、EC事業者はそもそもシステムの内部に入りこまれないよう策を施さなければならない。
「顧客に注意喚起するだけでなく、EC事業者側も不正プログラム(マルウェア)感染を目論むフィッシングメールや詐欺サイトに引っかからないようにしなければなりません。以前は海外から攻撃を仕掛けられても、日本語の不自然さから怪しいメールやサイトを見破れましたが、今は生成AIの発達により言語の壁がなくなりつつあります。騙されると自身のIDやパスワードが盗まれ、そこから管理画面に侵入されてしまいます」(大久保氏)
また、現在ECサイトを狙う攻撃の主流となっているウェブスキミング(デジタルスキミング)には「特に注意が必要」だと大久保氏は警鐘を鳴らす。
「ウェブスキミングは、ECサイトの脆弱性を突いて内部に入り込み、プログラムやHTMLを改ざんして顧客情報を盗むサイバー攻撃の一種です。システムのロックや脅迫画面の表出によって気づけるランサムウェアと異なり、情報が漏えいしていることに気づかないままEC運営を継続できてしまうところがこの攻撃の最も恐ろしい点といえます」(大久保氏)
ウェブスキミングは、ECサイト運営者側で検知するのが難しく、不正利用の被害報告を受けたクレジットカード会社や警察からの問い合わせによって発覚するケースが多いという。
顧客に良質な商品やサービスを提供する側だったはずが、気づかぬ間に顧客の大切な情報を攻撃者に横流しする立場になってしまっていた━━EC事業者にとって、これほど恐ろしいことはないだろう。こうした侵入は、なぜ起きるのか。主要因として板橋氏はECパッケージやプラグインのバージョン管理不備を挙げた。
「開設当初の古いバージョンから、一度もアップデートせずに使い続けている事業者もゼロではありません。攻撃者はこうした脆弱性を利用して内部に入り込もうと、日々標的を探しています。機械的に攻撃対象を探していますから『うちの知名度では狙われないだろう』といった考えではいけません。セキュリティの穴はとにかく埋めていきましょう。こうした日々のメンテナンス工数が確保できないのであれば、安全性担保のためにASP型のカートに乗り換えるといったことも考えるべきです」(板橋氏)
