ネットショップの2大セキュリティ脅威・「情報漏洩」&「クレジットカード不正利用」の対策とは?

通販・ECサイト・ネットショップなどを運営するには、様々なリスクから自身のショップを守る必要があります。代表的なリスクとして挙げられるのは「情報漏洩」と「クレジットカード不正利用(なりすまし)」です。特に被害規模の大きい「情報漏洩」に対しては、ネットショップ構築時はもちろん、ネットショップ開業後も継続してしっかりと対策を講じたほうがいいでしょう。

本記事では、代表的な2つのセキュリティ脅威とそれぞれの対策方法を詳しく解説します。

ネットショップ情報保護

【リスクを知る】通販・EC業界特有のセキュリティ脅威

近年、だれもがかんたんにネットショップを開業できるようなツール・サービスが増えたことにより、大手のショッピングモールなどへの出店だけではなく、自社のネットショップを開業される方も増えてきました。
どんなデザインのページにしようか、どんな商品を売っていこうかと、考えることは尽きませんが、運営するネットショップのセキュリティ対策もしっかりと考えておかなければいけません。

まずは、2つのリスクについて、その内容を詳しく見てみましょう。

セキュリティ・リスク(1)情報漏洩

情報漏洩とは分かりやすく言えば、外部からの不正アクセス(サイバー攻撃)によって、自社で保有している個人情報が流出してしまうことです。これは主に、セキュリティの脆弱性を突かれることにより起こります。

サイバー攻撃は日々発生しており、特にECサイトは、クレジットカード情報をはじめとする価値の高い個人情報の宝庫なので、非常に狙われやすい部類です。一度でも情報漏洩してしまうと、下記のような重大リスクにさらされることとなります。

  1. 購入者様をはじめ、社会からの信頼を失墜。
  2. 事実告知やお詫び等の費用・労力。
  3. 当該サイトを一時閉鎖することによる、売上減少。
  4. 漏洩原因の調査、システムの改修等の費用。
  5. 購入者様のカード差替費用。
  6. 行政当局、マスコミへの対応。
  7. 国際ブランドからの補償金支払い請求。

自社のネットワーク、PCなどの端末はもちろん、ショッピングカートシステムや決済システムからの流出もあり得るため、それらのサービスの脆弱性を常にチェックすることが大切です。

(あ)外的要因

当社の調査によると、ECショップの個人情報漏洩の原因として一番多いのは、オープンソースのショッピングカートシステムを利用してネットショップを構築した際に、脆弱性対策が追い付かないことです。

オープンソース,脆弱性対応

オープンソースのショッピングカートはカスタマイズ性が高いというメリットがありますが、機能追加のプラグインなどを使っていると、ソフトウェア自体のアップデートの際に、プラグインの部分が正常に作動しない可能性があります。その際、アップデート作業に費用をかけたくないため、古いバージョンのまま使い続けてしまいがちです。

また、カスタマイズを担当してもらったシステム会社に、きちんとメンテナンスの依頼をしておかないと、脆弱性公開情報を見落としてしまいます。脆弱性が公表されれば、攻撃者側もその情報を見て一斉に攻撃してくるので、その前に迅速な対応が求められます。

(い)内的要因

情報漏洩の原因は、外部からの攻撃だけではなく、自社の社員のセキュリティ意識の低さによって、管理ミスや誤操作などで引き起こされるケースも少なくありません。

また、システム会社との窓口担当者が退職などで変更になってしまうと、セキュリティ面における体制の継続が十分でなくなったり、ひいてはシステム会社との関係自体が疎遠になってしまったりすることによって、結果的に上記のような脆弱性対策が追い付かない事態を引き起こすことにもなります。

セキュリティ・リスク(2)クレジットカード不正利用(なりすまし)

不正行為

クレジットカード不正利用(「なりすまし」とも言われる)とは、他人のクレジットカード情報を使って買い物をし、カードの持ち主(名義人)になりすまして商品を盗み取る行為のことです。そのクレジットカードの本当の持ち主(名義人)が不正利用されたことをカード会社に申告すると、その代金はネットショップ運営会社に請求されます。つまり、商品は売れたはずなのに代金が入ってこないことになるため、いかに怪しい注文者を見抜くかが大切です。

不正利用者に狙われやすい商材

クレジットカード不正利用者の目的は、不正に入手した商品の転売です。そのため、ブランド物の衣類や精密機器、化粧品類などの商材は不正利用者によく狙われる傾向にあります。

また、はがき類は金券ショップにて高価買取が可能であり、はがき自体は金券ではないのでクレジットカードの審査も厳しくないという理由から狙われやすいため、はがき類を販売される場合は注意が必要です。

【対策を知る】情報漏洩、クレジットカード不正利用を防ぐには

ここまでECショップを取り巻く2大リスクの脅威について説明してきましたが、次に具体的なリスクへの対策について述べていきます。

情報漏洩対策

(1)ASPのショッピングカートを使う
オープンソース型ではなく、ASP(Application Service Provider)のショッピングカートであれば、例え脆弱性が見つかったとしても、そのカートを提供している会社が定期的にアップグレードを行うため、特にショッピングカートの脆弱性を意識することなく、ECショップの運営ができます。
ただし、ASPのショッピングカートはカスタマイズ性が低いため、ある程度お店のデザインに制限が出てしまいます。
(2)社内体制の強化
内的要因による流出を避けるためにも、セキュリティやリスクに対する意識を向上させることは大切です。自社のシステム部門やシステム会社の窓口部門の体制強化などを行いましょう。
(3)クレジットカード決済環境の整備
ECショップを運営する企業には、「2018年3月までに『クレジットカード情報の非保持化』もしくは『PCIDSSに準拠する』いずれかの対策を講じること」が義務付けられています。この対策を自社で独自に行おうとすると、莫大な費用と労力がかかってしまうため、この条件を満たすような決済代行会社と契約するのが現実的です。

「PCIDSSに準拠」したクレジットカード決済システムを有しており、また「クレジットカード情報の非保持化」を実現するためのサービスをご提供する「ヤマトフィナンシャル」のサービスをご覧ください。

クレジットカード不正利用(なりすまし)対策

残念ながら、不正利用そのものを防ぐ根本的な解決方法はありません。そのため、受注管理の業務の中で疑わしい購入者に出会った場合は、クレジットカード以外の決済手段(銀行振込などの事前入金決済)への切り替えをご案内することをオススメします。
一部ですが、疑わしい購入者の傾向例は下記のとおりです。

  1. 平均単価より極端に高い買い物をしている(特に初回注文)
  2. 注文情報に矛盾がある(配送先は東京なのに電話番号は大阪など)
  3. クレジットカードの与信が繰り返し失敗

不正利用を防ぐ根本的な解決方法がないのに、上記以外でどのように不正対策をすればいいのか、と疑問に思われるかもしれませんね。業界的には、クレジットカード不正利用のリスクを軽減する対策として、「不正検知」対策があります。不正検知の仕組みや重要性、また数千円~数千万円まで価格帯のきわめて広い不正検知システムを選定するポイントについては、次のコンテンツに詳しく解説します。

 

まとめ:
ネットショップの成長に欠かせないセキュリティ対策には、今すぐにできるものと、既存のシステムや仕組みを理解したうえで改善できるものがあります。目に見えない被害へのリスクを防ぐために、まずは「情報漏洩対策」と「クレジットカード不正利用(なりすまし)対策」を行いましょう!

 

このコンテンツを読んだ方のお役に立てそうなテーマ

 

ネットショップ担当者必見・3分で分かる三大決済「クレカ・代引・コンビニ後払い」の導入メリット

 
 

お電話でのお申し込み・お問い合わせ

【受付時間】9:00~18:00

0120-69-5090

携帯電話からご利用のお客様 03-6671-8080