お役立ち資料
脆弱性?脆弱性診断?セキュリティの専門家が徹底解説セキュリティ対策の疑問
すべて解決!
025
中村
2025年2月5日
インターネットでの買い物が日常となった現代において、ECサイト(電子商取引サイト)のセキュリティは、ECサイト運営者にとって重要な課題です。昨今では、クレジットカード情報の非保持化やSaaS型ECサイトの普及により、一部のECサイト運営企業においてセキュリティ意識が低下する傾向が見られます。
しかし、適切な対策を怠れば、利用者の個人情報や取引データが危険にさらされる可能性があります。本記事では、ECサイトを巡るセキュリティ被害の現状や主な攻撃手法について詳しく解説し、それらの脅威から情報を守るために必要な具体的な対策についてご紹介します。
日本クレジット協会の報告によると、クレジットカード情報の不正利用による被害額が2023年に過去最高を記録しました。内訳では、不正アクセスなどにより窃取されたクレジットカード情報の悪用による被害額が大部分を占めています。
出典:一般社団法人 日本クレジット協会「クレジットカード不正利用被害の発生状況」
出典:一般社団法人 日本クレジット協会「クレジットカード不正利用被害の発生状況」
ECサイトへのサイバー攻撃から、クレジットカード情報を窃取されるケースも多く、このような被害は、消費者のクレジットカード情報が不正利用されるだけでなく、ECサイトを運営する企業の信用にも大きな損害を与えています。
こうした事態を受け、独立行政法人情報処理推進機構(IPA)は経済産業省と連携し、ECサイトのセキュリティ向上を目的とした「ECサイト構築・運用セキュリティガイドライン」を策定し、企業に対してセキュリティ対策の強化を求めています。また、日本クレジット協会は、ECサイトを運営する企業に対して、脆弱性対策などのセキュリティ対策を実施することを2025年4月以降必須化する指針を発表しています。
これにより、ECサイトのセキュリティ対策の重要性はますます高まっています。実際には、どのような攻撃がECサイトを脅かしているのでしょうか。代表的な攻撃手法とその原因を紹介します。
Webサイトにクロスサイトスクリプティング脆弱性が存在する場合、Webサイトを改ざんされたり、サイト利用者をフィッシングサイトへ誘導されたりする可能性があります。これにより、顧客の個人情報やクレジットカード情報が窃取される危険性があります。
また、Webサイトに外部から指定された任意のURLを基にリダイレクトする処理(オープンリダイレクト)が含まれている場合も、同様にフィッシング攻撃につながる可能性があります。クロスサイトスクリプティング脆弱性の詳細につきましては、以下のページも併せてご参照ください。
クロスサイトスクリプティング【Cross-Site Scripting:XSS】とは|図でわかる脆弱性の仕組み | ユービーセキュア (ubsecure.jp)
フィッシング攻撃への対策
Webスキミング攻撃では、Webサイトに不正なコードを挿入し、サイト利用者が決済やユーザ情報変更などを実行した際に送信されるクレジットカード情報や個人情報を窃取される可能性もあります。Webスキミング攻撃の手口は、前述のクロスサイトスクリプティング脆弱性を利用した手口だけでなく、管理者アカウントを乗っ取る手口など様々です。
SaaS型ECサイトでは、管理者画面のアクセス元IPの許可設定のミスや不適切な権限設定が、攻撃の糸口となることがあります。これにより、意図しないユーザからのログインや、不正に管理者メニューを利用される危険性があります。また、暗号化通信を強制していない場合は、データの盗聴などの危険性があります。
SaaS型ECサイトの設定ミスを狙った攻撃に対する対策
ECサイトの運営には、顧客情報を守るための責任があります。適切なセキュリティ対策を講じることで、ECサイトを脅かすさまざまなサイバー攻撃のリスクを軽減することができます。定期的な脆弱性診断の実施とSaaS型ECサイトの設定の見直しを通じて、自社のセキュリティ対策を強化し、より安心・安全なECサイト運営を目指していきましょう。
ユービーセキュアでは、独立行政法人情報処理推進機構(IPA)策定の「ECサイト構築・運用セキュリティガイドライン」に基づいて、Webサイトに存在する脆弱性を洗い出すことができるWebアプリケーション診断パッケージをご用意しています。ECサイトの特性を踏まえ、満たすべきWebアプリケーションのセキュリティレベルを効率的に確認することが可能です。少しでも気になることがございましたら、お気軽にご相談ください。