お問い合わせ

脆弱性?脆弱性診断?セキュリティの専門家が徹底解説セキュリティ対策の疑問
すべて解決!

セキュリティの基本から脆弱性診断の深掘りまで、このシリーズがあなたのセキュリティ対策の疑問を専門家がわかりやすく徹底的に解説し解消します。
mv-image
セキュリティの基本から脆弱性診断の深掘りまで、このシリーズがあなたのセキュリティ対策の疑問を専門家がわかりやすく徹底的に解説し解消します。
problem021

025

ECサイトのセキュリティで気を付けるべきポイント

sangi_nakamura_Profile

中村

2025年2月5日

インターネットでの買い物が日常となった現代において、ECサイト(電子商取引サイト)のセキュリティは、ECサイト運営者にとって重要な課題です。昨今では、クレジットカード情報の非保持化やSaaS型ECサイトの普及により、一部のECサイト運営企業においてセキュリティ意識が低下する傾向が見られます。

しかし、適切な対策を怠れば、利用者の個人情報や取引データが危険にさらされる可能性があります。本記事では、ECサイトを巡るセキュリティ被害の現状や主な攻撃手法について詳しく解説し、それらの脅威から情報を守るために必要な具体的な対策についてご紹介します。

 

ECサイトを巡るセキュリティ被害の現状

日本クレジット協会の報告によると、クレジットカード情報の不正利用による被害額が2023年に過去最高を記録しました。内訳では、不正アクセスなどにより窃取されたクレジットカード情報の悪用による被害額が大部分を占めています。

graph1

出典:一般社団法人 日本クレジット協会「クレジットカード不正利用被害の発生状況」


graph2

出典:一般社団法人 日本クレジット協会「クレジットカード不正利用被害の発生状況」

ECサイトへのサイバー攻撃から、クレジットカード情報を窃取されるケースも多く、このような被害は、消費者のクレジットカード情報が不正利用されるだけでなく、ECサイトを運営する企業の信用にも大きな損害を与えています。

こうした事態を受け、独立行政法人情報処理推進機構(IPA)は経済産業省と連携し、ECサイトのセキュリティ向上を目的とした「ECサイト構築・運用セキュリティガイドライン」を策定し、企業に対してセキュリティ対策の強化を求めています。また、日本クレジット協会は、ECサイトを運営する企業に対して、脆弱性対策などのセキュリティ対策を実施することを2025年4月以降必須化する指針を発表しています。

これにより、ECサイトのセキュリティ対策の重要性はますます高まっています。実際には、どのような攻撃がECサイトを脅かしているのでしょうか。代表的な攻撃手法とその原因を紹介します。

 

ECサイトへの主な攻撃手法

攻撃手法1. フィッシング攻撃

Webサイトにクロスサイトスクリプティング脆弱性が存在する場合、Webサイトを改ざんされたり、サイト利用者をフィッシングサイトへ誘導されたりする可能性があります。これにより、顧客の個人情報やクレジットカード情報が窃取される危険性があります。

また、Webサイトに外部から指定された任意のURLを基にリダイレクトする処理(オープンリダイレクト)が含まれている場合も、同様にフィッシング攻撃につながる可能性があります。クロスサイトスクリプティング脆弱性の詳細につきましては、以下のページも併せてご参照ください。

クロスサイトスクリプティング【Cross-Site Scripting:XSS】とは|図でわかる脆弱性の仕組み | ユービーセキュア (ubsecure.jp)

フィッシング攻撃への対策

  • 入力値のサニタイズとエスケープ処理:入力されたデータがHTMLやJavaScriptコードとして解釈されないようにすることで、クロスサイトスクリプティング脆弱性を防ぎます。
  • URLリダイレクト先の固定化:任意のリダイレクト先が指定されないようにして、オープンリダイレクトの脆弱性を防ぎます。
  • セキュリティ診断の定期的な実施:Webサイトの定期的な脆弱性診断を実施し、潜在的な脆弱性を早期に発見・修正することが重要です。これにより、脆弱性を悪用した攻撃を防ぎ、Webサイトの安全性を向上させることができます。

攻撃手法2. Webスキミング攻撃

Webスキミング攻撃では、Webサイトに不正なコードを挿入し、サイト利用者が決済やユーザ情報変更などを実行した際に送信されるクレジットカード情報や個人情報を窃取される可能性もあります。Webスキミング攻撃の手口は、前述のクロスサイトスクリプティング脆弱性を利用した手口だけでなく、管理者アカウントを乗っ取る手口など様々です。

Webスキミング攻撃への対策

以下のブログ記事で詳しく解説しています。

Webスキミング攻撃から守るにはどんな対策が必要? | セキュリティ対策の疑問すべて解決! | ユービーセキュア


攻撃手法3. SaaS型ECサイトの設定ミスを狙った攻撃

SaaS型ECサイトでは、管理者画面のアクセス元IPの許可設定のミスや不適切な権限設定が、攻撃の糸口となることがあります。これにより、意図しないユーザからのログインや、不正に管理者メニューを利用される危険性があります。また、暗号化通信を強制していない場合は、データの盗聴などの危険性があります。

SaaS型ECサイトの設定ミスを狙った攻撃に対する対策

  • 管理者画面へアクセスを許可するIPアドレスの制限:管理画面へのアクセス元を信頼できるIPアドレスに制限することで、不正アクセスのリスクを低減できます。
  • 権限設定の見直し:システム管理者や利用者には、必要最低限の権限のみを付与することで、誤操作や不正利用を防ぐことが可能です。
  • HTTPS通信の強制:暗号化通信を徹底するために、すべての通信をHTTPSに統一します。これにより、通信中のデータの盗聴・改ざんリスクを回避できます。
  • セキュリティアップデートやパッチの適用:SaaSベンダが提供するセキュリティアップデートやパッチを速やかに適用します。これにより、設定ミスや新たに発見された脆弱性によるリスクを軽減することができます。

 

まとめ

ECサイトの運営には、顧客情報を守るための責任があります。適切なセキュリティ対策を講じることで、ECサイトを脅かすさまざまなサイバー攻撃のリスクを軽減することができます。定期的な脆弱性診断の実施とSaaS型ECサイトの設定の見直しを通じて、自社のセキュリティ対策を強化し、より安心・安全なECサイト運営を目指していきましょう。

ユービーセキュアでは、独立行政法人情報処理推進機構(IPA)策定の「ECサイト構築・運用セキュリティガイドライン」に基づいて、Webサイトに存在する脆弱性を洗い出すことができるWebアプリケーション診断パッケージをご用意しています。ECサイトの特性を踏まえ、満たすべきWebアプリケーションのセキュリティレベルを効率的に確認することが可能です。少しでも気になることがございましたら、お気軽にご相談ください。

 

お問い合わせ