ECサイトに潜む「黒い影」 情報漏洩・不正注文リスクを防ぐポイントは？

   ECサイト構築を支援するecbeing（イーシービーイング、東京都渋谷区）が2021年10月7日、「ECサイトに潜むリスクとセキュリティ対策について」をテーマに、記者勉強会をウェビナー形式で開催した。

   登壇者は、同社執行役員の斉藤淳氏で、Vispa（ヴィスパ）社長の布田茂幸氏を聞き手に、気を付けるべきポイントと対応策を紹介した。

付け込まれてしまうと、代償は大きい

   ecbeingの斉藤淳氏によると、ECサイトでのリスクには、大きく分けて「情報漏洩」と「不正注文」があり、どちらも密接にかかわっていると語る。

   悪意を持つ人物が、脆弱性（ぜいじゃくせい）を突いて、ECサイト（仮にAとする）内に攻撃プログラムを設置し、一般ユーザーのクレジットカード情報などを収集する。そうして得られた情報を用いて、別のECサイト（B）で、ユーザーを偽った不正注文が行われる。

   不正注文されたとき、偽られたユーザーには補償があるのが一般的だ。しかし、サイトBは、発送してしまった商品を取り返せない上に、売り上げも回収できない。サイトAも、ユーザーへの賠償に加えて、調査会社への依頼や、それに伴う数か月間のサイト停止など、大きな代償を強いられる。

斉藤氏による情報漏洩・不正注文のスキーム図

   情報漏洩の原因は、ウイルス感染や不正アクセスが半数を占め、誤表示や盗難よりも圧倒的に多いという。では、どんなところに攻撃プログラムを潜ませるのか。ECの場合は、管理画面にコードを仕込み、注文時に偽のカード入力画面へ誘導するケースが多発している。正しい入力画面が出てきても、裏から情報を盗まれているケースもあるほか、外部連携サービスからの流出もあるそうだ。

   ecbeingのサービスでは、ホワイトリストにより、異常なプログラムをはじく仕組みを採用している。また一般的な対応策として、管理画面のURL変更や、パスワード・ユーザーIDの使いまわし禁止、固定IP化などを紹介。カード会社などが提供する不正検知サービスや3Dセキュアといった、不正注文を防ぐ仕組みも解説した。