Shopifyのセキュリティ対策は安全?EC担当者がチェックすべき脆弱性

Shopifyのセキュリティ対策は安全?EC担当者がチェックすべき脆弱性

EC運営担当者が知っておくべき5大セキュリティ脅威

とかく販売促進やマーケティングの業務に目が行きがちなEC運営ですが、サイトの運営しているかぎり、多かれ少なかれ、顧客情報を自社や委託先で管理しています。そのため、顧客の情報を危険にさらすリスクを最小限にできるように、日々注意しておかなければなりません。

ずさんなサイト管理で顧客情報が流出してしまったり、サイトが運営不可能になれば、社会的な信用を失うだけでなく、金銭的なダメージを被ります。そもそも、修復までにはサイト自体を閉じなければならなりません。被害を受けたECサイトを閉鎖している間に被る平均的損失額は約5,700万円、事故対応費用の平均額は2,400万円(どちらも1社あたり)にも上ります(IPA調べ

まずは、ECに関わる担当者なら全員が把握しておきたい、ごく一般的なサイバー攻撃の脅威について確認していきましょう。

1)アカウントの乗っ取りが起こる「パスワードリスト攻撃」

ECサイトに不正にログインされてしまうと、そこに保存されている顧客情報、クレジットカード情報を利用して大量に商品を購入されたり、さらにその情報を使って別サイトで決済されたりしてしまいます。

不正ログインの手法の代表例に「パスワードリスト攻撃」があります。闇ウェブ(ダークウェブ)などで入手された過去に漏洩したIDとパスワードのリストを使って次々にサイトにログインを試みる手法です。ユーザーがパスワードやIDを使い回すことがあるため、他サイトでもログインできてしまうことがあります。アカウントリスト攻撃、リスト型アカウントハッキングなどとも呼ばれます。

顧客情報の流出防止

2)フィッシングの標的になる「クローニング」や「スプーフィング」

ECサイトや金融サイトなどは、偽サイトを使うフィッシングの標的にやりやすいです。例えば、犯罪者集団は、クローニングやスプーフィングといった手法を使うことで、公開されているサイトをまるごとコピーし、偽サイトをすばやく立ち上げることができます。
お知らせやセールなどフィッシングサイトへのログインを促す大量のメールを送信することで、パスワードやユーザーIDを入力しフィッシングサイトにログインさせたり、個人情報やクレジットカード情報を入力することで、それらを盗まれてしまいます。

このような自社のフィッシングサイトを構築されてしまうと、注意喚起を行ったくらいでは被害は止められません。また、偽サイトや偽メールが出回ることで、自サイトの信頼性が傷つけられ、信用度も落ちてしまいます。

不正侵入防止システムを用いて、自社サイトへの不審なアクセスを監視・遮断するなどの予防策も必要ですが、そもそもフィッシングサイトが自社コントロール外にあるため、リテラシーレベルが低ければ、ユーザーがその標的になってしまうことは避けられません。

3)顧客の個人情報の流出する「ハッキング」や「マルウェア」

ECサイトでは、顧客の氏名、住所、電話番号を始め、決済用のクレジットカード情報などを保持しています。これらがまとめて流出してしまうとクレジットカードの不正決済をはじめ、第二、第三の犯罪に利用されてしまいます。

ECサイトでは顧客情報をオンライン上に保持しているため、サイバー犯罪者はECサイトのシステムの脆弱性を発見して、セキュリティホールから侵入し、データを盗み出します。また、メールやソフトウェアなどに仕込まれたマルウェアをスタッフが実行してしまうと、外部から重要データにアクセス可能になり、社内データが盗まれる、ランサムウェアでサイト全体や顧客データが利用不可能になるといった事案もあります。
ほかにも、社内の人間が故意にデータを盗み出すといったこともありますが、大半は、システムの脆弱性を狙ったハッキングなどが原因と言えるでしょう。

4)不正入手したカード情報を用いた「不正注文による損失」

ECサイトは、自社サイトからデータが盗まれるだけでなく、不正な方法による注文を受けて商品や金銭を奪われるリスクもあります。不正注文は、アカウント乗っ取りの一種とも言えますが、闇ウェブなどの盗まれたクレジットカード情報を使い、不正決済によって商品を購入される事案です。この場合は、クレジットカード会社がユーザーから被害報告を受ければ売上は取り消されて返金を余儀なくされる一方で、失われた商品は、そのまま取り戻すこともできません

日本クレジット協会によると、2021年の国内発行クレジットカードにおける年間不正利用被害総額は約330億に達しています。過去5年で2倍以上の伸びと年々増え続けています。また、不正利用のうちの94%はクレジットカード番号の盗用によるもので、ECサイトのサイバー攻撃や、フィッシングなどによって不正利用されたものと言えます。

また、クレジットカードマスターという手法では、ECサイトを利用して、自動的に生成したクレジットカード番号の有効性を検証するような悪用の仕方もあります。

5)セキュリティ体制の甘さを狙った「管理画面の乗っ取り」

悪意のあるユーザーに運営しているECサイトの管理画面に入られてしまえば、サイトが壊されるだけでなく、そこにある内容はすべて盗まれてしまいます。

管理画面の乗っ取り原因には、総当たり攻撃などによるログインだけでなく、ログイン認証がデフォルト設定にままで誰にでもログインできる状態になっていた、などの原因があります。また、設定ミスにより、非公開のディレクトリが公開されていたために侵入を許してしまったり、サイトのセキュリティアップデートを放置したことでセキュリティホールを突かれたといったこともあります。

サイトに無用なユーザーがログインできるままの状態にしない、推測しやすいパスワードを設定しない、IPアドレスの制限や二段階認証を装備するなど、サイトへのアクセス権限管理には十分注意しなければなりません。

Shopifyをもっと使いこなせる、EC担当者必見の売上向上施策はこちらの資料をご覧ください。

脅威からECサイトを守る!必ずやっておくべきセキュリティ対策とは

甚大な被害を及ぼすことのあるECサイトの脅威ですが、その脅威から身を守るには、セキュリティ対策計画に則ってサイトが運用されることが必要です。

IPAの公開している「ECサイト構築・運用セキュリティガイドライン」では、経営者が取り組むべきセキュリティ対策、実務担当者が取り組むべきセキュリティ対策の両方がまとめられているので、一読をおすすめします。

このガイドラインは経営者向けと運用者向けの二部構成になっています。まず、経営者にはECサイトが被害に遭った際のダメージを説明し、ECサイトの構築時と運用時に必ず盛り込むべきセキュリティ確保のための予算や技術人材の確保を確認しています。

後半では、運用者が実施するべきECサイト構築の際のセキュリティ対策要件と、運用時のセキュリティ要件を紹介しています。

以下に、運営担当者向けにまとめたECサイトの運用時におけるセキュリティ対策要件を紹介します。

【ECサイトの運用時におけるセキュリティ対策要件一覧】

  1. サーバ及び管理端末等で利用しているソフトウェアをセキュリティパッチ等により最新の状態にする。(必須)
  2.  ECサイトへの脆弱性診断を定期的及びカスタマイズを行った際に行い、見つかった脆弱性を対策する。 (必須)
  3.  Webサイトのアプリケーションやコンテンツ、設定等の重要なファイルの定期的な差分チェックや、Webサイト改ざん検知ツールによる監視を行う。 (必須)
  4. システムの定期的なバックアップの取得及びアクセスログの定期的な確認を行い不正アクセス等があればアクセスの制限等の対策を実施する。 (必要)
  5. 重要な情報はバックアップを取得する。 (必要)
  6. WAF(Web Application Firewall)を導入する。 (推奨)
  7. サイバー保険に加入する。 (推奨)

上記の中でも、1〜3までは必須要件です。

要件1のサイトのソフトウェアを最新に保つことについては、当たり前と思う運営者の方も多いかもしれませんが、実際には、サイバー被害を受けたECサイト事業者の97%が自社構築サイトであり、また、75%はECサイトパッケージやCMSの脆弱性を悪用されたための被害だったというIPAの調査もあります。つまり、サイトの保守としてパッチなどが当てられていなかった自社構築サイトが被害対象事業者の多くを占めています。個人情報保護委員会が実施した調査でも同様な状況が見られます。

要件2の脆弱性診断は、信頼できる外部組織に診断を依頼し、指摘を受けて必要な対処を行いましょう。こちらも外部依頼先の選定に迷う場合は、IPAの「情報セキュリティサービス基準適合サービスリスト」の中で掲載されている脆弱性診断サービスのリストから選ぶと安心です。

要件3については、サイトの不正アクセスがあった場合に、データが改ざんされていないかなどをすばやく検知するため、必要な措置です。Web改ざん検知ツールなどの導入によって監視を行います。

もしも、社内のEC運営担当者にこれらの技術的サポートができる人が居なければ、必ず社外に委託契約をしなければなりません。また、大切なのは、委託業者に丸任せにしてしまうのではなく、どんな業務を行うかを契約時に確認し、定期的に実行してもらい報告を受ける、セキュリティ情報などの知識共有を受けるなど、共同でサイトを管理していく姿勢です。被害があってから「外部にお願いしていたはずだった」ですませられる話ではありません。

Shopifyをもっと使いこなせる、EC担当者必見の売上向上施策はこちらの資料をご覧ください。

サイバー被害の少ないSaaS型ECプラットフォーム

上記で「ECサイト構築・運用セキュリティガイドライン」でも紹介されていますが、サイト侵害のほとんどは、オープンソースで無料のECサイトパッケージを用いて自社構築した場合に、セキュリティ対策がおろそかになり、重大なセキュリティホールを放置したための発生です。

こういった被害にあったECサイトの事業者は、サイトを自社構築しなおすことなく、SaaS型もしくはモール型のECサイトに移行しています。SaaS型のECサイトは、Shopifyをはじめ、クラウド契約でECサイトを運用するもの、モール型は楽天市場やヤフーショッピングといった、大きなショピング専用サイトに出店する形態です。このどちらも、専門の大規模ECの専門技術者がサイト全体の保守や、不正なクレジットカード利用などについての監視を常時を行っているため、日々ECサイトの脆弱性情報を集めてチェックしたり、サイトの改変がないかを監視するようなことまではEC担当者は心配する必要がなくなります。ただし、モール型では自社サイトURLも取得できず、手数料も高いため、自社ECサイトとしての選択としては、SaaS型に乗り換えることが多いと言えます。

ただし、SaaS型ならすべて安心だというわけではありません。SaaS型サービスを利用する場合は、必ずPCI DSS(日本カード情報セキュリティ協議会の設定したセキュリティ基準)に準拠しているサービスを選んでください。
また、SaaS型サービスでは管理画面の乗っ取りによる不正ログイン被害が増えてきているので、運営者のアクセス時の認証にはIPアドレスや端末IDによるアクセス制限、二段階認証などを用いられるように設定できるサービスであることも必須です。

Shopifyのサイバーセキュリティ対策は大丈夫?

SaaS型のECサイトプラットフォームとして人気のShopifyは、全世界で440万以上のサイト運営者を抱えていますが、そのセキュリティ体制は安全なのでしょうか? 見ていきましょう。

Shopifyをもっと使いこなせる、EC担当者必見の売上向上施策はこちらの資料をご覧ください。

必須要件のPCI DSSレベル1に対応

SaaSのECサービス選択の必須要件として挙げられている「PCI DSS」は、最高のレベル1を取得しています。PCI DSSは、国際的に利用されている5つのクレジットカードブランドによって、クレジットカード会員データを安全に取り扱うために策定された基準で、12の要件について400項目の準拠項目があります。このレベルは1〜4まで4段階があり、取引件数が多いサイトでは、よりレベルの高い基準への準拠が求められています。

PCI DSSの要件には、カード情報を保護するためのファイアーウォールの維持や、カードデータ転送時の暗号化、脆弱性管理のための措置、アクセス追跡と監視などが含まれます。前項で挙げた必須要件の1と2について、PCI DSSレベル1を取得したShopifyでは実施されていると言えます。また、SaaS型ではECサイト運用者が手をかけることなく、自動的に重要なアップデートや更新が行われるため、必須要件3にも対応できます。

国際的セキュリティ基準ともいえるSOCを取得

SOC報告書(Service Organization Control Report)とは第三者監査人によってサービスのセキュリティと可用性に関する基準を含む独立した一連の基準を満たしていることを証明するものです。ShopifyはSOC 2 Type IIとSOC 3 の保証報告書を取得しています。

SOC2は、米国会計士協会が定めたサイバーセキュリティのフレームワークの1つで、顧客データをクラウドサービスに保存して処理するサービスを提供する企業に適用するものです。SOC2 Type IIは、基準のみならず運用プロセスまでを監査の対象にしています。AWSやAzureなどのクラウドサービスも取得しており、高水準なデータセキュリティが保証されるサービスの国際基準ともなっています。
SOC3は、SOC2 と異なり広く受託先ウェブサイトなどで公開できるようになっているため、SOC2と共にに取得しているケースが多いものです。

管理画面のセキュリティを確保

Shopifyでは、管理画面へのアクセス権を制限し、SMSを使った二段階認証を利用できます。ログイン履歴もあるので、不正なログインなどが無かったかも簡単に確認できるようになっています。

不正注文の防止措置

Shopifyの決済サービスであるShopifyペイメントを使用する場合、また、Shopifyに対応してほとんどの外部決済サービスを利用する場合でも、クレジットカードの不正解析を解析しています。また、「Fraud Controlアプリ」のように、注文リスクや承認率、チャージバックに関する読み込みの分析で不正注文を追跡する機能があります。Fraud Controlのダッシュボードでは、不正解析情報をレベル判定表示、取引を行うかどうかの判断に使ったり、ブロックユーザーのリストを作成して不正行為者を追跡することなどもできます。

Fraud Control

ほかにも、「Dynamic 3DS」による3Dセキュア利用、「プロキシ検出」によるプロクシやIPアドレスを使用したお客さまの検出などの措置が用意されています。また、世界中にいるホワイトハッカーが日夜Shopifyの安全監視も行っていることも、多くのストアから信用されるサービスとなっている理由です。

このように、Shopifyは大規模な取引数をもつECサイトの運用にも安心な各種のセキュリティ対策、すばやいアップデートによる安全性の確保が行われています。

Shopifyをもっと使いこなせる、EC担当者必見の売上向上施策はこちらの資料をご覧ください。

カスタマイズの際に注意が必要!

SaaS型のShopifyで運営するECサイトが安全性が高いとわかったとしても、サイトのカスタマイズを行う段階で脆弱性が生まれてしまう危険があります。ひとつは、CMSなどに組み込んで利用する場合にオリジナルで作成したページが侵入ルートとなることがあります。
また、Shopifyのように世界中にデベロッパーが拡張アプリであるShopify Appを配付しているため、Appの脆弱性がセキュリティホールとなることも当然あります

ECサイトに加えることで便利になるアプリやカスタマイズも、事前に調査をせずにどんどん加えていくことは絶対にオススメしません。すでに定評のあるアプリを探したり、使う前に詳しい知識を持った開発者などに評判を確かめておくことが大切です。

また、Shopifyのようにクレジットカード情報を保持しないSaaS型のサイトでも、カスタマイズしたページから侵入され、決済画面の改ざんなどの改変が仕込まれてしまえば、カード情報の漏洩が発生します。また、その責任範囲もサイト運営事業者の範囲になってしまいます。

安全な管理画面設計からShopify App選択まで専門家に相談できる

Shopify公認「Shopify Plusパートナー」のBiNDecでは、これまでの多数のShopifyでのECサイト構築の経験から、Shopifyでのセキュアなサイト構築から運用体制から、安全で使い勝手のよいShopify Appの選択までアドバイスが可能です。SaaS型に乗り換えたいけれど、知識に不安がある、社内のセキュリティ基準にあった状態でShopifyが使えるかを確認したいなどお考えのEC担当者の方は、まずご相談ください!

BiNDecのオンライン相談に申込む

POINT

  • ECサイトのサイバー攻撃でもっとも多いのがセキュリティホールを利用した乗っ取りや情報漏洩
  • ECサイトのセキュリティを保つための要件はIPAなどの専門情報サイトで詳しく解説されている
  • 自社運営サイトでセキュリティ保持が難しくなった事業者では、SaaS型サイトに乗り換える例が多い