ECサイト構築パッケージソフト「ecbeing」を提供する株式会社ecbeingは、メディア関係者を対象としたプレスセミナー「ECサイトに潜むリスクとセキュリティ対策について」を10月7日に開催。同社の元執行役員で、現在はVispaの代表取締役社長を務める布田茂幸氏と、ecbeingのEビジネス営業本部 執行役員を現職で務める斉藤敦氏が、セキュリティ事故の事例とともに原因と対策を紹介した。なお、同セミナーでは司会進行を布田氏、解説を斉藤氏が担当。
同セミナーではまず、ECサイトにおけるセキュリティリスクについて言及。ECサイトにおいては、不正注文や個人情報漏洩という問題が生じやすいとし、両者の関連性について解説した。
斉藤氏は、悪意の第三者(以下、悪用者)がECサイトで不正注文を行う様子を例として提示。セキュリティが脆弱なECサイトに対して悪用者が攻撃プログラムを設置し、一般ユーザーが同サイトで商品を購入すると、悪用者にクレジットカード情報などの個人情報が漏洩するという仕組みを説明した。その後、悪用者が取得した情報をもとにほかのECサイトで商品を購入することが不正注文となる。
例に挙げられたような状況では、一般ユーザーはクレジットカード会社から身に覚えのない請求を受けることになるが、不正注文が発覚した際の一般ユーザーへの補償は手厚いことが多いと言う。ただし、不正注文を受け付けてしまったECサイトへの補償については、クレジットカード会社が代金返却、支払拒否をする場合もあるとし、ECサイトが自ら不正注文および個人情報漏洩に関する対策を行うことの重要性を語った。
続いて斉藤氏は、2020年における上場企業とその子会社の個人情報漏洩・紛失事故の状況について、東京商工リサーチのデータをもとに2,515万人の被害があったと説明。また、同社の調査で事故件数が2019年との比較で19.7%増、その内ウイルス感染・不正アクセスが約50%になっていることなどを話した。この要因として斉藤氏は、EC市場拡大により、セキュリティの知識がないツールベンダー・EC支援会社によって構築されたECサイトが増加していることを挙げた。
実際に不正アクセスによる個人情報漏洩事故が起きた企業では、一定期間のECサイト停止および改修、侵入経路などを調べるフォレンジック調査、一般ユーザーへの賠償、クレジットカードのグローバルセキュリティ基準「PCI DSS環境」への移行などが必要となり、数千万単位の実害が生じる場合があると言う。
続いて、ECサイトにおける不正アクセスとして斉藤氏は、管理画面など通常アクセスできないページ・フォルダにアクセスするケースが多いと話す。管理画面から顧客の氏名や住所などの情報を抜き取られるほか、オンラインスキミング、フォームジャッキングと呼ばれるような手法で、CMS編集画面に不正なスクリプトを書き込むことで、決済画面で一般ユーザーに気づかれないように偽の決済画面に遷移させ、入力したクレジットカード情報を取得されてしまうことがあると説明した。また、そもそも遷移をさせずにクレジットカード情報を抜き取るケースもあると言う。
不正アクセス侵入経路としては、ECサイトに直接アクセス、ログインをする場合のほかにウェブ接客ツールやMAツールなど、プラットフォームに提携する外部ツールを通ずる場合もある。ecbeingではこうした不正アクセスに対し、事前に設定したホワイトリスト以外のスクリプトを制御する、スクリプトの変更を記録するなどの対策を行っているほか、外部ツールの運用環境に関する調査も実施している。
斉藤氏は、もっとも不正アクセスが生じやすいサービスはオープンソースソフトウェアだと話す。その理由としては、同ソフトウェアに何か問題が生じた際、その問題点を公開して是正する必要があるため、悪用者が付け入る隙を与えてしまうことや、管理画面のURLが公開されていることが挙げられる。とくに管理画面のURLが公開されている場合、悪用者がIDとパスワードを解析するだけで不正アクセスが実現できてしまうため、管理画面のURLを秘匿とすることが重要となる。
また、斉藤氏はオープンソース利用の有無にかかわらず、管理画面へのアクセスについてパスワードの複雑化や、ワンタイムパスワード設定などの2要素認証、ログイン確認メールなどの2段階認証、IP制限などを行う必要があるとし、さらに不正アクセスによる注文を防止するための方法としてECサイトへの「不正検知サービス」の導入と「3Dセキュア」の導入を薦めた。
不正検知サービスは、不正注文を早期発見、未然に防ぐサービス。また、3Dセキュアはクレジットカード会社各社が設定しているオンライン本人認証サービスで、ECサイトでの決済時に3Dセキュア用のパスワード入力画面に遷移。事前にクレジットカード会社に設定したパスワード入力を必要とする。
3Dセキュアについて斉藤氏は、不正注文防止に有効だとした上で、遷移画面が増えることやスマートフォンに最適化されていないことなどから、ECサイトでの利用が少ないという課題があると話す。セミナーの最後に、こうした課題を解消した新たなサービスとして「3Dセキュア2.0」を紹介した。
3Dセキュア2.0は、3Dセキュアを進化させたサービス。3Dセキュアでは、クレジットカード会社各社がそれぞれでサービスを提供していたが、3Dセキュア2.0ではEuroPay、Mastercard International、Visa International間で規格を統一。従来の3Dセキュアが課題としていた、スマートフォンへの最適化を実現したほか、決済時にクレジットカード会社で不正注文のリスク判定を実施。リスクが高いと判断した場合のみ、ワンタイムパスワードを要求するという方法を採ることで、ユーザービリティを改善している。同サービスは、2021年秋から徐々に提供が開始される予定。
