ECサイトの2大セキュリティ脅威・情報漏えいとクレジットカード不正利用の対策

ECサイトの2大セキュリティ脅威・情報漏えいとクレジットカード不正利用の対策 ECサイトの2大セキュリティ脅威・情報漏えいとクレジットカード不正利用の対策

ECサイトの運営において、さまざまなリスクから自身のショップを守る必要があります。代表的なリスクとして挙げられるのは「情報漏えい」と「クレジットカード不正利用(なりすまし)」です。特に被害規模の大きい「情報漏えい」に対しては、ECサイト構築時はもちろん、ECサイト開業後も継続してしっかりと対策を講じたほうがいいでしょう。

本記事では、代表的な2つのセキュリティ脅威とそれぞれの対策方法を詳しく解説します。

【リスクを知る】EC業界特有のセキュリティ脅威

近年、だれもが簡単にECサイトを開業できるようなツール・サービスが増えたことにより、大手のショッピングモールへの出店だけではなく、自社のECサイトを開業される方も増えてきました。
どんなデザインのページにしようか、どんな商品を売っていこうかと、考えることは尽きませんが、運営するECサイトのセキュリティ対策もしっかりと考えておかなければいけません。

まずは、2つのリスクについて、その内容を詳しく見てみましょう。

セキュリティ・リスク(1)情報漏えい

情報漏えいとはわかりやすく言えば、外部からの不正アクセス(サイバー攻撃)によって、自社で保有している個人情報が流出してしまうことです。これは主に、セキュリティの脆弱性を突かれることにより起こります。

サイバー攻撃は日々発生しており、特にECサイトは、クレジットカード情報をはじめとする価値の高い個人情報の宝庫なので、非常に狙われやすい部類です。一度でも情報漏えいしてしまうと、下記のような重大リスクにさらされることとなります。

  • 購入者をはじめ、社会からの信頼を失墜
  • 事実告知やお詫びなどの費用・労力
  • 当該サイトを一時閉鎖することによる、売上減少
  • 漏えい原因の調査、システムの改修等の費用
  • 購入者のクレジットカード差替費用
  • 行政当局、マスコミへの対応
  • 国際ブランドからの補償金支払い請求

自社のネットワーク、PCなどの端末はもちろん、ショッピングカートシステムや決済システムからの流出もあり得るため、それらのサービスの脆弱性を常にチェックすることが大切です。

外的要因
当社の調査によると、ECサイトの個人情報漏えいの原因として一番多いのは、オープンソースのショッピングカートシステムを利用してECサイトを構築した際に、脆弱性対策が追い付かないことです。

外的要因

オープンソースのショッピングカートはカスタマイズ性が高いというメリットがありますが、機能追加のプラグインなどを使っていると、ソフトウェア自体のアップデートの際に、プラグインの部分が正常に作動しない可能性があります。その際、アップデート作業に費用をかけたくないため、古いバージョンのまま使い続けてしまいがちです。

また、カスタマイズを担当してもらったシステム会社に、きちんとメンテナンスの依頼をしておかないと、脆弱性公開情報を見落としてしまいます。脆弱性が公表されれば、攻撃者側もその情報を見て一斉に攻撃してくるので、その前に迅速な対応が求められます。

内的要因
情報漏えいの原因は、外部からの攻撃だけではなく、自社スタッフのセキュリティ意識の低さによって、管理ミスや誤操作などで引き起こされるケースも少なくありません。

また、システム会社との窓口担当者が退職などで変更になってしまうと、セキュリティ面における体制の継続が十分でなくなったり、ひいてはシステム会社との関係自体が疎遠になってしまったりすることによって、結果的に上記のような脆弱性対策が追い付かない事態を引き起こすことにもなります。

セキュリティ・リスク(2)クレジットカード不正利用(なりすまし)

なりすまし

クレジットカード不正利用(「なりすまし」とも言われる)とは、他人のクレジットカード情報を使って買い物をし、クレジットカードの持ち主(名義人)になりすまして商品を盗み取る行為のことです。そのクレジットカードの本当の持ち主(名義人)が不正利用されたことをクレジットカード会社に申告すると、その代金はショップに請求されます。つまり、商品は売れたはずなのに代金が入ってこないことになるため、いかに怪しい購入者を見抜くかが大切です。

<不正利用者に狙われやすい商材>
クレジットカード不正利用者の目的は、不正に入手した商品の転売です。そのため、ブランド物の衣類や精密機器、化粧品類などの商材は不正利用者によく狙われる傾向にあります。

また、はがき類は金券ショップにて高価買取が可能であり、はがき自体は金券ではないのでクレジットカードの審査も厳しくないという理由から狙われやすいため、はがき類を販売される場合は注意が必要です。

【対策を知る】情報漏えい、クレジットカード不正利用を防ぐには

ここまでECサイトを取り巻く2大リスクの脅威について説明してきましたが、次に具体的なリスクへの対策について述べていきます。

情報漏えい対策

(1)ASPのショッピングカートを使う
オープンソース型ではなく、ASP(Application Service Provider)のショッピングカートであれば、例え脆弱性が見つかったとしても、そのショッピングカートを提供している会社が定期的にアップグレードを行うため、特にショッピングカートの脆弱性を意識することなく、ECサイトの運営ができます。
ただし、ASPのショッピングカートはカスタマイズ性が低いため、ある程度ショップのデザインに制限が出てしまいます。

(2)社内体制の強化
内的要因による流出を避けるためにも、セキュリティやリスクに対する意識を向上させることは大切です。自社のシステム部門やシステム会社の窓口部門の体制強化などを行いましょう。

(3)クレジットカード決済環境の整備
ECサイトを運営するEC事業者には、「『クレジットカード情報の非保持化』もしくは『PCI DSSに準拠する』いずれかの対策を講じること」が義務付けられています。この対策を自社で独自に行おうとすると、莫大な費用と労力がかかってしまうため、この条件を満たすような決済代行会社と契約するのが現実的です。

「PCI DSSに準拠」したクレジットカード決済システムを有しており、また「クレジットカード情報の非保持化」を実現するためのサービスをご提供するヤマト運輸のサービスをご覧ください。

クレジットカード不正利用(なりすまし)対策

残念ながら、不正利用そのものを防ぐ根本的な解決方法はありません。そのため、受注管理の業務の中で疑わしい購入者に出会った場合は、クレジットカード以外の決済方法(銀行振込のような事前入金決済)への切り替えをご案内することをオススメします。

一部ですが、疑わしい購入者の傾向例は下記のとおりです。

  • 平均単価より極端に高い買い物をしている(特に初回注文)
  • 注文情報に矛盾がある(配送先は東京なのに電話番号は大阪)
  • クレジットカードの与信が繰り返し失敗

ヤマト運輸のクレジットカード決済 不正検知機能はこちら

まとめ

ECサイトの成長に欠かせないセキュリティ対策には、今すぐにできるものと、既存のシステムや仕組みを理解したうえで改善できるものがあります。目に見えない被害へのリスクを防ぐために、まずは「情報漏えい対策」と「クレジットカード不正利用(なりすまし)対策」を行いましょう。

ページトップへ戻る

カテゴリの記事一覧