ターゲットは中小ECサイト!政府も警鐘を鳴らすサイバー攻撃を他人事と思うなかれ

ECのミカタ編集部 [PR]

バルテス株式会社 営業部担当部長 秋山肇氏 バルテス株式会社 営業部担当部長 秋山肇氏

国内のネットワークに向けられた2016年のサイバー攻撃関連の通信は、前年比2.4倍の約1,281億件という調査結果がある(国立研究開発法人・情報通信研究機構(NICT)発表)。しかもこの途方に暮れるような数字も氷山の一角にすぎない。今、ECサイト運営者は自らを守るためになにをすべきか。ソフトウェアやシステムの検査を行う第3者検証の専門会社、バルテス株式会社の営業部担当部長 秋山肇氏に突撃した。

中小規模のECサイトがサイバー攻撃で狙われるのには理由がある

ECサイトの構築・運用・セキュリティの実務担当者を対象とした調査(※)によると、49.1%もの担当者が「自社ECサイトが過去1年以内にサイバー攻撃を受けた」という。そのうち実に7割超が、顧客のID・パスワードや顧客の個人情報の漏えいという実害につながっているというから衝撃だ。

「以前はいたずら目的でのサイバー攻撃も多かったのですが、最近は個人情報を不正入手して売買することを目的としたサイバー攻撃が増えてきました。攻撃のためのツールも出回っています。」と秋山氏。

いまや個人情報漏えいのニュースも珍しくなくなった印象だが、それは一部の大企業がターゲットにされているようにも思える。「もともとは大企業が狙われるケースが多くありました。その方が大量に情報を取れるからです。しかし最近ではセキュリティリスク対策をしっかりしている大手より、手近に取れそうな中小企業の方がターゲットになってきています。」そう秋山氏は話す。Webセキュリティ診断サービスを提供している同社のクライアントとしても、ここ1〜2年で中小企業やベンチャー企業が増えているという。

個人情報の宝庫であるECサイト。セキュリティにまで手がまわらない企業も多いだろうが、決して後回しにしてはいけない問題なのだ。「大手企業でも、脆弱性が見つかったという通報があり、調べてみたらボロボロの穴だらけで危険な状態だったということがあります。実際に被害を受けていることに気づいてないサイトも多いでしょう。調べてみなければ、情報を取られていることすら気づきませんから。」と秋山氏は言う。ではもし被害に遭ってしまったとき、どれだけの損害を被るか考えてみたことはあるだろうか。

個人情報を漏えいするとどうなる?再オープンできずに致命的になることも!

一度流出した情報は後からは回収することは不可能だ。過去の事例から考えると、顧客リストが流出したとして1人あたり1,000円分の商品券をもって謝罪する場合、顧客が1万人いれば総額は1千万円にものぼる。問い合わせ用の特別窓口を設置したり、マスコミ対応をしたりする必要もあるだろう。

「それだけではありません。システムの改修のために時間とコストがかかり、さらに安全性を検証してからでなければ再オープンできません。一度被害を受けたら数ヶ月から半年、長ければ1年以上ビジネスができなくなり、ECとしては大打撃になってしまいます」。

サイト停止期間の機会損失に加え、たとえ再オープンしても風評被害による顧客の減少は避けられない。利益を追求するはずのECサイトで、まさかの大損害を招くような事態が簡単に起こってしまう時代なのだ。だからと言ってセキュリティのために大きなコストを割くのは難しいのが現実だ。

「セキュリティで100点を取ろうと思ってもキリがありません。まずは『簡単な攻撃で侵入されること』だけは避けなければいけません。攻撃者はいかに簡単に侵入するかを考えています。最近の攻撃の傾向としては、入り口を見てセキュリティの甘そうなところをリストアップして後からじっくり攻める。街を歩きながら『この家は鍵がかかっていない、ここは窓が開けっ放し』とチェックし後から侵入する空き巣と同じようなイメージです。戸締りをきちんとしていれば『ここは面倒臭いな』と入ってきません」。

秋山氏は「まず第一歩として、簡単な攻撃に対して防御できていることを見せる」ことが大事だと教えてくれた。そのためにも大切なのが、セキュリティ診断を受けて現状を把握することだという。

擬似的な攻撃者となってECサイトを調べてみると、リスクはほぼ100%検出される

擬似的な攻撃者となってECサイトを調べてみると、リスクはほぼ100%検出される

これから2020年に向けて、日本へ向けたサイバー攻撃はますます加速度を増していくだろう。独立行政法人情報処理推進機構(IPA)も声を大にしてセキュリティリスク対策の必然性を訴えている。

「当社では、これまでのサイバー攻撃の事例をすべて解析しています。どんな攻撃があるかをチェックリスト化し、それを網羅してセキュリティが担保できているかを確認するのが『Webセキュリティ診断サービス』です」。

ツールを使って簡易的に調べてくれるサービスもあるが、今やツールだけではセキュリティを担保できないと秋山氏は話す。「当社の実績ではツールだけで見つかるリスクがだいたい半分。残り半分は手動の検査で見つかっています。当社では専門のエンジニアがツールと手動の両方の手段で擬似的な攻撃者となり、クライアントのサイトを攻撃してリスクがないかを見ていきます」。

Webセキュリティ診断サービスでは「クレジットカード情報・住所、電話番号といった個人情報が見られないか」もしくは「フィッシング詐欺で情報が取られないか」を確認。同社の実績では70%のサイトでハイリスクの脆弱性が見つかり、中程度のリスクまで含めるとほぼ100%のサイトでリスクを検出するという驚愕の数字だ。

「単に『脆弱性を見つけました』だけではその後どうしていいかわからないというお声をよくお聞きします。弊社の診断では、具体的なリスク内容や対策方法をすべて報告書にまとめて提出しています。さらに、改修後には本当に直っているか確認いただくために再診断も無償で対応しています。確実に穴が塞がっていることを確認いただくことで、安心してECサイトを運用していただきたいと考えています」。

料金体系は他社の同様のサービスに比べるとリーズナブルな印象を受ける。そこには同社の「豊かで安全なICT社会の根幹を支える」という理念が色濃く反映されているようだ。

2020年とその先の未来に向けて、今からすべきこと

政府はサイバーセキュリティに関する啓蒙のために、2月1日から3月18日までを「サイバーセキュリティ月間」としている。同社でも、これまでに培ったソフトウェアやシステムに関する知見をもとに、サイバーセキュリティへの意識を高める活動を行っている。

「ロンドンやリオのときも、開催前には現地で相当な攻撃があったと聞いています。世界中の耳目が日本に集まる中、2020年に向けて今のうちに対策を打つ必要があるのです。これまでの経験を踏まえ、そのためのアドバイスをさせていただくセミナーを開催します」と秋山氏。

2020年とその先の社会へ。これから同社ではスマートフォンのアプリやIoT機器に向けたセキュリティテストにも力を入れていくという。「安心・安全にECサイトを運用していただくためにも、スタンダードになりつつあるセキュリティ診断を受け、セキュリティリスクがないかを確認いただくことを強くおすすめします」。

※トレンドマイクロ株式会社「企業におけるECサイトのセキュリティ実態調査 2016」

【記事内容をさらに理解できるセミナー概要】
『ECサイトを運営する上で知っておきたい2つのコツ公開セミナー』
日時:2018年1月24日(水)15:30~
会場:Nagatacho GRID(永田町グリッド)6F Attic
   〒102-0093 東京都 千代田区平河町2-5-3
定員:80名
※ 申込多数の場合は抽選とさせて頂きます。ご了承下さい。

セミナーへお申し込みはこちら


記者プロフィール

ECのミカタ編集部

ECのミカタ編集部。
素敵なJ-POP流れるオフィスにタイピング音をひたすら響かせる。
日々、EC業界に貢献すべく勉強と努力を惜しまないアツいライターや記者が集う場所。

ECのミカタ編集部 の執筆記事