ECサイトのセキュリティ事故、さまざまな攻撃方法をご紹介！

ECサイトを運営するにあたって、セキュリティ対策は欠かせません。しかし、セキュリティ対策がきちんとなされていそうな大手企業のサイトであっても、不正アクセスやwebサイトの改ざん、個人情報の流出といった事故は後を絶ちません。
なぜ、ECサイトのセキュリティ事故は起こってしまうのでしょうか？

事前にリスクを回避するためにも、サイバー攻撃の方法や、実際に起こったセキュリティ事故について詳しく解説していきます。

なぜECサイトでセキュリティ対策が大切なのか？

ECサイトでは住所や名前などの個人情報や、金銭をやり取りするクレジットカード情報といった、重要な機密情報を取り扱います。顧客情報などを狙う攻撃者が機密情報を入手できれば、クレジットカードを不正利用したり、詐欺行為のために個人情報のリストを転売したりするなどして、不正に利益を得ることができます。

一方、ECサイトにセキュリティ事故が発生してしまうと、サイトの運営者に対して金銭的な損害が発生するだけでなく、社会的な信頼・信用も失墜してしまいます。

一時的にサイトの閉鎖を余儀なくされたり、サイトを再開しても「売れないECサイト」になってしまったりなどして、売上は激減してしまいます。

サイバー攻撃の種類は多種多様

コンピュータの利用や情報管理、情報システムの運用に関して、セキュリティ上の脅威となる出来事を「セキュリティインシデント」と呼びます。セキュリティインシデントを未然に防ぐためには、起こりうるリスクに対して事前に対策を取ることが大切です。

しかし、サイバー攻撃は多種多様で、攻撃の種類によって注意点や対策なども変わってきます。サーバー攻撃の種類を大きく4つに分けて、攻撃の仕方や特徴を解説します。

１）標的型

特定の組織や人に対し、個人情報やカード情報、顧客情報などの情報を盗み出す攻撃です。

ゼロデイ攻撃

ソフトウェアのセキュリティ上に発見された脆弱性を悪用する攻撃です。メーカーや研究者から問題が公表され、修正プログラムが公表される前に攻撃することを言います。

フィッシング

電子メールや掲示板などで企業や個人を装い、個人情報やクレジットカード情報、パスワードなどの機密情報などを取得しようとする詐欺行為のことです。

DoS攻撃

サーバーやネットワーク機器などに過剰な負荷をかけ、ネットワークを遅延させたり、サイトへのアクセスを妨げたりする攻撃です。ブラウザの更新キーである「F5」で、不必要にリクエストを送信する「F5アタック」もDoS攻撃の一種です。

DDoS攻撃

1台のシステムから攻撃を行う「DoS攻撃」に対して、複数のシステムから攻撃を行うのが「DDoS攻撃」です。

水飲み場攻撃

攻撃対象となるターゲットが訪れるwebサイトを改ざんし、ターゲットがサイトを訪れた際に不正なプログラムを作動させ、ウイルスなどに感染させる攻撃です。

２）マルウェア

不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアのことで、外部に情報を盗み出したり、システムを破壊したりします。

ウイルス

他のアプリケーションソフトに寄生して、ソフトが実行された時に動作を妨げたり、ユーザーが意図しないことを行ったりするプログラムです。自主的に増殖して、他のアプリケーションソフトに拡散します。

ワーム

他のプログラムの動作を妨げたり、ユーザーの意図に反する事を行ったりするプログラムで、自己増殖して拡散するのが特徴です。ウイルスのように特定のアプリケーションに寄生はせず、独立のプログラムとして感染します。

トロイの木馬

特定のプログラムの内部に隠れ、プログラムが実行された際に、悪意のある行動をします。増殖・拡散しない点が「ウイルス」「ワーム」との違いです。

ランサムウェア

ドキュメントや音楽、画像などのファイルを、暗号化処理して読みとれない状態にした上で、ファイルを復元する代わりに身代金を要求するプログラムです。

バックドア

コンピュータなどの攻撃をしやすくするために、攻撃者が入れるような「裏口」を仕込むためのプログラムです。

ボット

感染したコンピュータが、他のコンピュータやネットワークへ攻撃、サーバーからファイルを盗み出すように仕組まれたプログラムです。

スパイウェア

コンピュータに侵入し、コンピュータから勝手に機密情報や個人情報など、内部情報を外部に送ってしまうプログラムです。スパイウェアの中には、以下の2つが代表的なものとして挙げられます。

―アドウェア

インターネットの閲覧中にポップアップ広告などの広告が表示されたり、クリックを促されたりします。スパイウェアの中でも一番種類が多いと言われています。

―キーロガー

パソコンが閲覧したwebサイトの情報を取得し、さらにはキーボード操作を記録して、外部に送信プログラムです。クレジットカード情報などが送信され、悪用される危険性があります。

３）パスワード関連

サイトへログインするためのパスワード取得されてしまうと、外部の第三者に不正ログインされ、サイトを乗っ取られてしまう危険性があります。

ブルートフォースアタック（総当たり攻撃）

パスワードとして可能な組み合わせを片っ端から全て試す方法です。手軽に実行できるツールが普及しているため、時間はかかりますがパスワードを割り出せる確率は高くなります。

辞書攻撃

辞書や人名リストなどに載っている単語や単語の組み合わせによって、膨大な数のパスワード候補のリストを作成し、パスワードが見つかるまで試す方法です。

パスワードリスト攻撃

他から入手したIDとパスワードを用いて、不正ログインする攻撃です。複数のサイトで同じID、パスワードを使用していると、被害に合う危険性が高くなります。

パスワードスプレー攻撃

ログインシステムでは、一定期間に一定回数のログインに失敗すると、アカウントがロックされることがあります。複数のIDに対して一つのパスワードを順番に試す、一定の時間を開けて異なるパスワードを試すといった方法で、アカウントのロックを回避しながら、時間をかけてパスワードを割り出す、ブルートフォースアタックの一種です。

４）WEBアプリケーション関連

WEB上で悪意あるプログラムを組み込み、不具合を発生させるタイプの攻撃です。

SQLインジェクション

データベースと連携したWEBシステムの場合、外部から入力された値を元に、データベースへの命令であるSQL文を組み立てることがあります。悪意のあるSQL文を注入し、不正なSQL文を実行させることで、データベース内の個人情報などを入手します。

バッファオーバーフロー

プログラム内で確保しているメモリー領域（バッファ）の大きさを超えるデータを送り込み、コンピュータに誤作動を起こさせる攻撃です。場合によっては、コンピュータを乗っ取られ、他のコンピュータを攻撃するということも起こり得ます。

クロスサイトスクリプティング攻撃

掲示板やSNSなどに、悪意のある不正なスクリプトを挿入する攻撃です。標的とされたサイトに直接的な被害はありませんが、サイトを閲覧しているユーザーが被害の対象になります。

エクスプロイトキット

webブラウザやAdobe Flash Playerなど、システムの脆弱性を攻撃するプログラムです。多くの人が利用するシステムの脆弱性を狙うため、多くのコンピュータを同時に攻撃ができます。

クリックジャッキング

webブラウザを悪用して、通常のwebページの上に透明なボタンやリンクなどをかぶせ、ユーザーにクリックをさせて不利益をもたらす攻撃方法です。

サイバー攻撃を受けるサイトは、大きなサイトだけとは限らない

悪意のあるハッカーが狙うのは、多くのメリットが得られるような大企業のサイトと思うかもしれませんが、大規模でアクセス数の多いサイトだけが狙われる訳ではありません。

セキュリティが堅い大企業を狙うよりも、セキュリティに脆弱性のある関連中小企業のセキュリティを突破できれば、大企業への攻撃もしやすくなる可能性があるため、あえて規模の小さいサイトを狙うことも十分にあり得ます。

2019年上半期に起こったECサイトのセキュリティ事故

過去にもECサイトを狙ったセキュリティ事故は多数起きてきました。セキュリティ事故を教訓に、各社ともセキュリティへの対策がなされているにも関わらず、セキュリティ事故がなくなることはありません。2019年の上半期に起きた、ECサイトのセキュリティ事故を一部紹介します。

アパレル（2019年5月）

パスワードリスト型攻撃による不正アクセスで、約46万件分の顧客情報が流出した可能性。情報の一部にはクレジットカード情報などのも含まれており、二次被害の可能性もある。

飲食料品（2019年4月）

システム内の脆弱性を利用した不正アクセスにより、クレジットカード情報を含む、約3万件の顧客情報が流出した可能性。オンラインショップは一時的に閉鎖されている。

旅客運送（2019年3月）

サイトシステムの脆弱性を利用した不正アクセスにより、約3000件のクレジットカード情報を含む、約8100件の顧客情報が流出した可能性。サイトは閉鎖されている。

製造業（2019年3月）

不正アクセスにより、約9700件の個人情報が流出した可能性。システムの脆弱性などのセキュリティ対策を行ってサイトを一時閉鎖している。

セキュリティ対策で、安心できるECサイト運営を

セキュリティ対策は年々進歩してはいるものの、新しい攻撃方法なども次々と生まれるため、常に安心できない状態であるのが現状です。セキュリティ診断を行ったり、PCIDSSに準拠するWAFのようなファイヤーウォールの導入をしたりなど、できることはありますが、100%安心できるセキュリティ対策はありません。

しかし、さまざまなセキュリティ対策を取ることで、セキュリティ事故が起こるリスクを減らし、もし攻撃を受けても被害を最小限に食い止めるとうにすることが大切です。安心できるサイト運営のためにも、正しいセキュリティ対策をしていきましょう。