ECサイトのセキュリティ対策~個人情報漏えい事件から考える~
個人情報保護が叫ばれて久しいですが、セキュリティ対策をしているつもりでも、情報漏えいは様々な理由で起こります。
近年起こった情報漏えい事故・事件をまとめますので、どのような対策が考えられるかを考えていきましょう。
過去に起こった情報漏えい事件から、探っていきましょう。
個人情報はUSBメモリで持ち出されており、USBメモリなどの個人使用を禁止する必要があります。
外付けデバイスの持ち込みを禁止することで、外部への持ち出しを防ぐことができます。
ちなみに、個人情報が保存されたノートPCなどを置き忘れる、紛失することは情報漏えいの原因の1位となっています。
また、この事件は、金銭的に困窮した下請け会社の社員が故意に起こした事件でした。
データセンター等に出入りする業者の身分をしっかりと確かめることも必要でしょう。
395件の漏えいが確認されたのですが、どの顧客の情報かが特定できないため、全部で192,594件を流出の可能性がある情報とすることとしました。
当初は、クレジットカードの情報は保持していないと発表されていたのですが、調査の結果、顧客データベースにクレジットカード情報が含まれていることがわかりました。
対策としては、不正アクセスが起こった場合はただちに外部との通信を遮断し、データベースから顧客情報を削除すること、また、プログラムの修正を早期に行うことなどが挙げられます。
アプリケーションやシステムの脆弱性は、常に発見されてはパッチが当てられ、また破られるというイタチごっこが続いています。そのため、常に最新バージョンにしておくことが重要です。
とくに、使っているアプリケーションのセキュリティ情報には気を配り、常に最新バージョンにしておくことを心がけましょう。
外部からの脆弱性を突いた不正アクセスが直接の原因でしたが、内部でのセキュリティ対策に対する事実誤認や管理ミスがあったため、不正アクセスを防げなかったとも発表されています。
不正アクセスだけでなく、内部の管理ミスや運営会社に丸投げしていた体制の問題でもある事件です。
人力の作戦になりますが、役所などのシステムでは、人の目によるチェックが有効です。
印刷されたマイナンバーと送付先が合致しているかを確認する工程があれば、このような事故は起こりません。
今回の事故は、送付前にチェックしていれば防げた事故です。
このケースでは提供しているサービスの機能を悪用してクレジットカードなどの個人情報を閲覧されてしまうというもので、その情報件数は8万件近い総数になるという規模の大きな事件となりました。
ECサイトのサービスを提供しているということで、サイト購入者の情報だけでなくサイト運営者の情報も多数流出してしまったと見られ、そのサービスの性質が仇となってこのような規模のケースとなってしまいました。
被害サイトは大手運営者であり、セキュリティも万全であったことが想定されていましたが、システム上のバグを利用した不正アクセスだっただけに、これまでとは異なるセキュリティ対策が求められるようになったとも言えます。
同時に企業の提供しているサービスの中では比較的新規のサービスで起きたケースであるため、以降の新規事業立ち上げも慎重にならざるを得ないでしょう。
日本の仮想通貨取引所に不正なアクセスが行われ、なすがままに時価総額500億円以上の仮想通貨が不正に取引され、事実上取引所からそのまま資産が失われることになったこの事件は、様々な条件が重なって被害が悪化したという流れが濃厚です。
取引所が事前に説明していたのと違う、資金を担保できない方法で管理していたことや、金融取引所としてのセキュリティ基準を満たしていなかったこと、そしてそもそも仮想通貨は暗号通貨と呼ばれるほど匿名性が高く、犯人の特定が困難なことなど、事件の解決にはまだまだ時間がかかると見られる案件です。
数百億円を超える不正アクセスによる直接的な被害はこれまでの世界の歴史にもなかったため、史上最大のハッキング被害としても注目の集まっている事件です。
規定通りのセキュリティを保持し、適切な資金管理を行なっていれば回避できたかもしれないケースとも言えるでしょう。
外部からの不正アクセスはなかなか防ぐのが難しいのですが、常にシステムを最新版にアップグレードすることで、防衛することができます。
人為的なミスについては、個人情報を持ち出さない、個人情報が保存されたデバイスを放置しない、アクセス権限などを他人に譲渡しない、など、組織的にも個人的にもセキュリティに対する意識を常に持って行動することで、低減できるでしょう。
不正アクセスもお問い合わせフォームなどを入り口とするものを始め、様々な手法を用いて日々様々なサイトで試みられています。
一度対策したからといって安心するのではなく、常にセキュリティを最新のものにするなどの継続的な取り組みが肝要です。
セキュリティ調査を外部の業者に行うなど、第三者による診断を行ってもらうのも有効と言えるでしょう。
もちろんwebページのアクセス制限など、手動で行えるセキュリティがきちんと機能しているかのチェックは欠かさないよう心がけましょう。
また、クレジットカードの再発行の手数料を負担する、お詫びの金品を送付するなど、金銭的な負担も発生します。
補償や第三者機関への調査費用もかかりますし、ダメージは大きなものとなります。
該当サイトを利用停止し、第三者機関による調査を行い、クレジットカードのモニタリング、また、セキュリティ対策を厳重にして、所轄警察への報告と、所轄官庁への報告を行います。
また、お客様窓口なども設けると良いでしょう。電話はフリーダイヤルで設けるのがベストです。
トークン決済とは、決済時に決済代行会社にカード番号を送信した後、トークン(鍵)を渡してもらいます。トークンは意味のない文字列ですので、第三者が盗み見ても分からないようになっています。
トークン決済を利用すれば、ECサイト側ではクレジットカード情報を保持しない上に、処理もしないため、クレジットカード決済を利用しながらもクレジットカードの情報が残りません。
トークンが漏えいしてしまったとしても、それは意味のない文字列ですので、他のサイトで不正利用することができないのです。
トークンには有効期限があるので、一定時間が経過したり、一度利用されたりすると、それ以上はもう無効になるので安全です。
JavaScriptを使用しているブラウザからなら、購入者が入力するクレジットカード番号を送信し、トークンに置き換えて、返信します。支払を完了したとき、情報漏えいのリスクが極めて軽減されるのが特徴です。
加盟会社はクレジットカードの番号を処理することなく、決済処理が完了しますので、自社のデータベースにクレジットカード情報を保存する必要がありません。
「決済とは?トークン決済とは?PCI-DSS準拠?カード情報の非保持化?」でも詳しく解説しています。ぜひご覧ください。
また、まだまだ未知の漏えいルートがあるかもしれませんので、常に他社の動向をチェックして、セキュリティの情報に気を配りましょう。
2020年頃までに、日本はセキュリティ大国を目指して、情報セキュリティ対策を高める必要があります。
不正アクセスは、おもに中国からのものが多いようです。アクセスログを常にウォッチし、中国からの怪しいアクセスがあったら、ただちにセキュリティレベルを上げるなどして警戒しましょう。
また、USBメモリなどを持ち込ませないなどの対応も有効です。
セキュリティゲートを設けて、外部メモリと顧客データベースを接触させないなどの手段も有効です。
一旦情報が流出すると、その損失は計り知れません。セキュリティ対策を講じて企業の社会的信用を守る必要があります。
ぜひお問合せください。
>>トークン決済とECサイトパッケージの連携についてのお問合せはこちらから
近年起こった情報漏えい事故・事件をまとめますので、どのような対策が考えられるかを考えていきましょう。
個人情報漏えいはどのように起こっているか
情報漏えいといっても、情報の種類や情報漏えいが起こった原因など、様々なケースがあります。過去に起こった情報漏えい事件から、探っていきましょう。
- 派遣社員がUSBメモリで持ち出した顧客名簿
- データベースへの不正アクセスが原因で個人情報が流出
- アプリケーションのシステム脆弱性を突かれる
- 不正アクセスを引き起こした内部要因
- エクセルファイルの操作ミスでマイナンバー漏えい
- 不正アクセスによる個人情報漏えい
- 被害総額500億を超える仮想通貨の不正取引が発生
派遣社員がUSBメモリで持ち出した顧客名簿:教育関連企業
2014年頃より、教育関連企業の顧客にダイレクトメール等が頻繁に届くようになり、調査したところ、3500万件以上の個人情報が名簿業者に転売されていました。個人情報はUSBメモリで持ち出されており、USBメモリなどの個人使用を禁止する必要があります。
外付けデバイスの持ち込みを禁止することで、外部への持ち出しを防ぐことができます。
ちなみに、個人情報が保存されたノートPCなどを置き忘れる、紛失することは情報漏えいの原因の1位となっています。
また、この事件は、金銭的に困窮した下請け会社の社員が故意に起こした事件でした。
データセンター等に出入りする業者の身分をしっかりと確かめることも必要でしょう。
データベースへの不正アクセスが原因で個人情報が流出:印刷通販会社
2016年に起こった印刷通販会社のクレジットカード情報漏えい事件は、不正アクセスによって個人情報だけでなく、クレジットカードの情報まで漏えいしてしまいました。395件の漏えいが確認されたのですが、どの顧客の情報かが特定できないため、全部で192,594件を流出の可能性がある情報とすることとしました。
当初は、クレジットカードの情報は保持していないと発表されていたのですが、調査の結果、顧客データベースにクレジットカード情報が含まれていることがわかりました。
対策としては、不正アクセスが起こった場合はただちに外部との通信を遮断し、データベースから顧客情報を削除すること、また、プログラムの修正を早期に行うことなどが挙げられます。
アプリケーションのシステム脆弱性を突かれる場合:オンラインショップ
あるオンラインショップでは17,085件の情報が流出してしまいまいました。アプリケーションのシステムの脆弱性を突かれて、不正アクセスを受けてしまったものです。アプリケーションやシステムの脆弱性は、常に発見されてはパッチが当てられ、また破られるというイタチごっこが続いています。そのため、常に最新バージョンにしておくことが重要です。
とくに、使っているアプリケーションのセキュリティ情報には気を配り、常に最新バージョンにしておくことを心がけましょう。
不正アクセスを引き起こした内部要因:大手化粧品会社の子会社
大手化粧品会社の子会社でも、42万人分の個人情報と、5万人分のクレジットカード情報が漏えいしました。親会社とは独立したシステムだったため、親会社のデータベースは無事だったものの、やはり信用低下やイメージダウンは避けられない事件でしょう。外部からの脆弱性を突いた不正アクセスが直接の原因でしたが、内部でのセキュリティ対策に対する事実誤認や管理ミスがあったため、不正アクセスを防げなかったとも発表されています。
不正アクセスだけでなく、内部の管理ミスや運営会社に丸投げしていた体制の問題でもある事件です。
エクセルファイルの操作ミスでマイナンバー漏えい:地方自治体
地方自治体マイナンバー漏えい事故は、地方自治体によるマイナンバーを誤送付してしまった人為的ミスによる事故です。担当者のエクセルの誤操作が原因とされています。これらを防ぐには、ダブルチェックが有効です。人力の作戦になりますが、役所などのシステムでは、人の目によるチェックが有効です。
印刷されたマイナンバーと送付先が合致しているかを確認する工程があれば、このような事故は起こりません。
今回の事故は、送付前にチェックしていれば防げた事故です。
不正アクセスによる個人情報漏えい:ネットショップ運営会社
個人のECサイトではなく、個人でのECサイト運営を簡便にするサービス提供会社が不正アクセスの対象となったケースです。このケースでは提供しているサービスの機能を悪用してクレジットカードなどの個人情報を閲覧されてしまうというもので、その情報件数は8万件近い総数になるという規模の大きな事件となりました。
ECサイトのサービスを提供しているということで、サイト購入者の情報だけでなくサイト運営者の情報も多数流出してしまったと見られ、そのサービスの性質が仇となってこのような規模のケースとなってしまいました。
被害サイトは大手運営者であり、セキュリティも万全であったことが想定されていましたが、システム上のバグを利用した不正アクセスだっただけに、これまでとは異なるセキュリティ対策が求められるようになったとも言えます。
同時に企業の提供しているサービスの中では比較的新規のサービスで起きたケースであるため、以降の新規事業立ち上げも慎重にならざるを得ないでしょう。
不正アクセスにより、被害総額500億を超える仮想通貨の不正取引が発生:仮想通貨取引所
2017年以降、突如としてその加熱さを増していた仮想通貨取引ですが、2018年1月に起こった仮想通貨取引所からの資金流出事件は、一夜にして世界でも最悪レベルの不正アクセス被害の渦中となりました。日本の仮想通貨取引所に不正なアクセスが行われ、なすがままに時価総額500億円以上の仮想通貨が不正に取引され、事実上取引所からそのまま資産が失われることになったこの事件は、様々な条件が重なって被害が悪化したという流れが濃厚です。
取引所が事前に説明していたのと違う、資金を担保できない方法で管理していたことや、金融取引所としてのセキュリティ基準を満たしていなかったこと、そしてそもそも仮想通貨は暗号通貨と呼ばれるほど匿名性が高く、犯人の特定が困難なことなど、事件の解決にはまだまだ時間がかかると見られる案件です。数百億円を超える不正アクセスによる直接的な被害はこれまでの世界の歴史にもなかったため、史上最大のハッキング被害としても注目の集まっている事件です。
規定通りのセキュリティを保持し、適切な資金管理を行なっていれば回避できたかもしれないケースとも言えるでしょう。
情報漏えいの原因と影響
前項では外部からの不正アクセスが原因の情報漏えい事件について多く取り上げましたが、実は内部での管理ミスや不注意・知識不足による取り扱いミスが全体の8割を占めています。
出典:2015年 情報セキュリティインシデントに関する調査報告書(日本ネットワークセキュリティ協会)
http://www.jnsa.org/result/incident/
人為的なミスについては、個人情報を持ち出さない、個人情報が保存されたデバイスを放置しない、アクセス権限などを他人に譲渡しない、など、組織的にも個人的にもセキュリティに対する意識を常に持って行動することで、低減できるでしょう。
狙われるECサイト
ECサイトは悪質な不正アクセスのターゲットになりやすい傾向があります。というのも金銭をやり取りする場である以上、クレジットカード情報や口座情報、住所などの個人情報に至るまで、いわゆる闇市場で高値で取引されやすい情報が詰まっていることが原因です。不正アクセスもお問い合わせフォームなどを入り口とするものを始め、様々な手法を用いて日々様々なサイトで試みられています。
一度対策したからといって安心するのではなく、常にセキュリティを最新のものにするなどの継続的な取り組みが肝要です。
セキュリティ調査を外部の業者に行うなど、第三者による診断を行ってもらうのも有効と言えるでしょう。
もちろんwebページのアクセス制限など、手動で行えるセキュリティがきちんと機能しているかのチェックは欠かさないよう心がけましょう。
情報漏えいがもたらす影響
もしも情報漏えいしてしまった場合、企業や顧客に及ぶ影響は計り知れません。社会的信用が低下するだけでなく、原因を追究し、対策を取るまではそのサービスを停止しなければならないため、売上も大きく減少するでしょう。また、クレジットカードの再発行の手数料を負担する、お詫びの金品を送付するなど、金銭的な負担も発生します。
補償や第三者機関への調査費用もかかりますし、ダメージは大きなものとなります。
クレジットカード情報が漏えいしてしまったら
これらが起こってしまった場合、できる対策は数多くあります。該当サイトを利用停止し、第三者機関による調査を行い、クレジットカードのモニタリング、また、セキュリティ対策を厳重にして、所轄警察への報告と、所轄官庁への報告を行います。
また、お客様窓口なども設けると良いでしょう。電話はフリーダイヤルで設けるのがベストです。
ECサイトが取るべき対策のひとつ、トークン決済
さらに、ECサイトが取るべき対策のひとつとして有効なシステムがトークン決済です。トークン決済とは、決済時に決済代行会社にカード番号を送信した後、トークン(鍵)を渡してもらいます。トークンは意味のない文字列ですので、第三者が盗み見ても分からないようになっています。
トークン決済を利用すれば、ECサイト側ではクレジットカード情報を保持しない上に、処理もしないため、クレジットカード決済を利用しながらもクレジットカードの情報が残りません。
トークンが漏えいしてしまったとしても、それは意味のない文字列ですので、他のサイトで不正利用することができないのです。
トークンには有効期限があるので、一定時間が経過したり、一度利用されたりすると、それ以上はもう無効になるので安全です。
JavaScriptを使用しているブラウザからなら、購入者が入力するクレジットカード番号を送信し、トークンに置き換えて、返信します。支払を完了したとき、情報漏えいのリスクが極めて軽減されるのが特徴です。
加盟会社はクレジットカードの番号を処理することなく、決済処理が完了しますので、自社のデータベースにクレジットカード情報を保存する必要がありません。
「決済とは?トークン決済とは?PCI-DSS準拠?カード情報の非保持化?」でも詳しく解説しています。ぜひご覧ください。
2020年の東京オリンピックに向けて
2020年の東京オリンピックでは、4000万人もの外国人が日本を訪れるとされています。そうなるとクレジットカード決済は必須です。そのため、各社セキュリティの対応に力を入れています。また、まだまだ未知の漏えいルートがあるかもしれませんので、常に他社の動向をチェックして、セキュリティの情報に気を配りましょう。
2020年頃までに、日本はセキュリティ大国を目指して、情報セキュリティ対策を高める必要があります。
不正アクセスは、おもに中国からのものが多いようです。アクセスログを常にウォッチし、中国からの怪しいアクセスがあったら、ただちにセキュリティレベルを上げるなどして警戒しましょう。また、USBメモリなどを持ち込ませないなどの対応も有効です。
セキュリティゲートを設けて、外部メモリと顧客データベースを接触させないなどの手段も有効です。
一旦情報が流出すると、その損失は計り知れません。セキュリティ対策を講じて企業の社会的信用を守る必要があります。
ECサイトパッケージとトークン決済の連携
Orange ECでは、トークン決済が可能になる「セキュリティ強化パッケージ」をご提案しています。ぜひお問合せください。
>>トークン決済とECサイトパッケージの連携についてのお問合せはこちらから
