PR

 EC(電子商取引)サイトの構築を手掛けるecbeingは2021年10月7日、ECサイトに潜むリスクとセキュリティー対策について発表した。同社の斉藤淳Eビジネス営業本部執行役員は「ECサイトへの不正アクセスによる情報漏洩が毎月のように起きている。ECサイトが簡単に作れるようになった結果、セキュリティー知識の浅い運営者が増えたことも一因ではないか」と分析する。

 東京商工リサーチによると、2020年の上場企業と子会社の個人情報漏洩・紛失事故による漏洩件数は2019年比19.7%増の約2515万人。そのうち半分をウイルス感染・不正アクセスが占める。斉藤執行役員は、2021年も同様の傾向が続いているとする。

 同社はECサイトにおいて攻撃の標的となりやすい箇所を、ECサイトの設定や管理に使うEC事業者向けの「管理画面」だと説明。管理画面が不正アクセスを受けた場合、「ECサイトをデザインするHTMLに不正なスクリプトをたった1行埋め込むだけで、偽の情報入力画面に誘導したり、入力データを外部に転送したりできる」(斉藤執行役員)。さらに、自社サイトに侵入されなくても、広告や各種計測機能などの外部連携ツールが侵入されていた場合は、ECサイト事業者が気付けないうちに情報を不正に取得される危険性があるとした。

 斉藤執行役員は、ECサイトとして最も狙われやすいのは、ECのセキュリティーに対する知識が豊富でなくてもECサイトを構築できるオープンソースのEC構築システムだと指摘。オープンソースを利用するEC事業者は管理画面のURLの複雑化が必須であると提言した。オープンソースを使わない場合でも、外部連携ツールのセキュリティー対応状況のチェックや管理画面へのアクセスの多要素・多段階認証の導入、クライアント証明書の活用などの対策を講じる必要があるとした。