■今日の事例 :自社サイト改ざんによる情報漏えい

A社はWebサイトで商品を販売しており、クレジットカード等の決済は決済代行事業者に委託している(カード情報等は保有していない)。

 

顧客が商品を選んだ後の決済画面は、決済代行事業者側の決済画面に遷移するようにしている為、自社サイトとしては個人情報を管理する必要がなく、サイバー攻撃への防御もあまり考えていなかった。

 

しかし、自社のWebサイトが知らないうちに改ざんされており、顧客が決済画面に遷移する際、偽の決済画面が開き、顧客が入力する個人情報やカード番号等が搾取された。

 

A社では当該事象を検知しておらず、ネットのニュースになって初めて知ることとなった。

 

 

■考察 :何がいけなかったのか考えてみましょう!

「今日の事例」はサイトの改ざんがテーマです。

最近のECサイトでは、割賦販売法への対応などの理由から、決済画面以降の処理を外部に委託するケースが増えています。決済画面以降の処理を受け持つ決済代行事業社については、高度なセキュリティ対策を行っている企業が多い為、委託の観点では委託前よりもセキュリティレベルは向上していると言えるケースがほとんどかと思います。

 

しかし一方で、その安全な領域に入る直前に罠を仕掛けられるケースが多発しており、Webサイトにおけるサイバー攻撃対策は継続的に実施することが求められております。

 

まず、問題となるポイントについて見てみます。

 

 ①サイバー攻撃への備え不十分

>決済情報等の個人情報を取扱わないサイトであっても、サイトが改ざんされ情報搾取の踏み台になる可能性がある為、防御策が必要

 

 ②サイトの改ざん未検知

>特に顧客が個人情報の入力を行うサイトであれば、例え決済画面を決済代行企業に委ねていたとしても、自社サイトの改ざんの即時検知の為のシステムの導入は必要

 

 

■対処 :クラウドシステムからの情報漏えいに関する対応

今回の事例のように、ECサイトの場合、決済画面は委託しているから個人情報の取扱いは問題ない、と考えてはいけません。上記のリスクポイントを踏まえて、このような事象が発生する可能性を少しでも少なくする方法を考えてみて下さい。

 

 

■結果 :今回の情報漏えいによって発生すること

今回の事例で、情報が漏えいした結果はどうなるしょうか?

 

・個人情報保護違反

・決済情報等の個人情報が流出したことにより

 → カードの悪用等の2次被害が発生した場合の損害賠償

 → 風評リスク~企業信用の失墜~顧客の減少

 

今回の事例は、ECサイトを展開する上で注意することがテーマです。特にクレジットカード番号などの情報を取扱う場合は、サイトの改ざんやフィッシング対策をとることが重要ですので、今一度自社サイトのサイバー対策について確認してみてください。

目次に戻る