ECサイトの運営において、不正アクセスは絶対に引き起こしてはならないものです。
しかし近年、ECサイトにおける不正アクセスが増加しており、様々な企業が被害にあっています。

その被害額は、情報処理推進機構（IPA）が2023年に発表した「ECサイト構築・運用セキュリティガイドライン」によると、ECサイトで不正アクセスや情報漏洩が発生した場合、売上損失は1社あたり約5700万円、事故対応にかかる費用の平均額が1社あたり2400万円に上るなど甚大な経済的損失が発生すると試算されています。

被害に合わないためにも、ECサイト運営では、個人情報を中心とした様々な情報を守るために不正アクセス対策を行う必要性があります。

そこで今回はECサイトの不正アクセスの概要から手口や引き起こす原因、対策方法まで詳しく紹介します。顧客からの信用を失わないためにもこの記事を参考に、しっかりとしたセキュリティ対策を講じましょう。

なお、自社にとって最適なECサイト構築方法を選択できないと、その後の運営や成果に大きなダメージを与えるおそれがあります。

ECサイトにおける不正アクセスとは、ECカートシステムやデータへの権限を持たない第三者が、許可なくアクセスを試みたり、不正に侵入したりする行為を指します。

不正アクセスは、悪意を持った個人や組織がセキュリティの対象となるシステムやデータに無断でアクセスすることで、プライバシーや機密性の侵害、データの改ざんや窃取、システムの破壊などの悪影響をもたらす可能性があります。

不正アクセスは法的にも問題とされ、個人や企業は適切な不正アクセス対策を講じることで不正アクセスからの保護を図る必要があります。

ただ不正アクセスの手口は様々です。適切な対策をするためにも、不正アクセスの手口を知ることが重要となります。

また、W２のアライアンスパートナーのかっこ株式会社が配信している「ネット通販（EC）における不正注文の原因や手口｜事業者ができる不正注文対策・不正検知とは？」の記事もあわせて確認することで、より深い知見が身につきます。

不正アクセスの手口は年々増加しており、数百種類を超えるとも言われます。以下では代表的なECサイトにおける不正アクセスの手口を6つ紹介します。

フィッシングは、ユーザーに偽の情報を入力させることで個人情報やログイン情報を盗む手法です。

具体的には、悪意のある第三者が、正規のECサイトや銀行のウェブサイトなどを模倣した偽のウェブサイトや電子メールを作成し、ユーザーに対して本物と偽り情報を入力させることで、個人情報やログイン情報、クレジットカード情報などを詐取します。

フィッシングの手口は巧妙で、通常のウェブサイトや電子メールと瓜二つの見た目やロゴ、文言などを使用し、ユーザーを騙して情報を入力させることを目的としています。例えば、偽のECサイトでは、商品の注文や支払い情報の入力を求めるページが用意されており、ユーザーがそれに気づかずに情報を入力してしまうことがあります。

フィッシングは、個人情報や金銭的な損失を被るだけでなく、その情報を悪用して不正な取引や詐欺行為が行われる可能性もあります。また、フィッシングの手法は日々進化しており、スマートフォンやソーシャルメディアを標的にしたフィッシングも増えています。

セッションハイジャックとは、攻撃者がユーザーのセッション情報を盗み取り、そのセッションを不正に利用することを指します。

一般的なECサイトでは、ユーザーがログインするとセッションが開始され、サーバー側にセッション情報が一時的に保存されます。このセッション情報には、ユーザーの識別子や認証トークンなどが含まれ、ユーザーのアカウントに関連する様々な操作を許可します。

セッションハイジャックは、攻撃者がユーザーのセッション情報を盗むことで、そのユーザーのアカウントに不正にアクセスする手法です。攻撃者はさまざまな手段でセッション情報を入手し、有効期限内であればその情報を使用してログイン状態となり、ユーザーとしてサイトにアクセスすることができます。

具体的な手法としては、盗聴や盗み見、クッキーの盗み取り、セッションIDの推測、クロスサイトスクリプティング（XSS）による攻撃などが挙げられます。これらの手法を用いることで、攻撃者はユーザーのセッションを乗っ取り、そのユーザーの権限を不正に利用したり、個人情報を盗み出したりすることが可能となります。

DDoS攻撃は、多数のコンピュータやデバイスを組織的に利用して、対象のサーバーに大量のアクセスを送信することで、サーバーの過負荷を引き起こし、正規のユーザーに対するサービス提供を妨害する手口です。

DDoSは「Distributed Denial of Service」の略であり、分散型の攻撃を指します。攻撃者は複数のコンピュータやボットネット（不正に制御された大量のデバイス）を利用し、それらを指示して一斉にECサイトへのアクセスを行います。大量のリクエストや通信量がサーバーに集中するため、正規のユーザーのアクセスが遅延したり、サイト自体がダウンしたりすることがあります。

DDoS攻撃は、ネットワークやサーバーのリソースを使い果たし、サーバーが正常なリクエストに対応できない状態になることを目的としています。攻撃者は組織や企業に損害を与えることや、サービス停止による利益喪失を引き起こすことを狙っています。

また、DDoS攻撃はしばしば他の不正行為やデータ漏洩の隠れ蓑として使用されることもあります。

トロイの木馬とは、悪意のあるコードやプログラムを他の有益なソフトウェアやデータに紛れ込ませ、ユーザーがそれを実行したりダウンロードしたりすることで、不正な操作や情報の盗み出しを行うマルウェアの一種です。

「トロイの木馬」は、その名前がギリシャ神話の一つであるトロイア戦争で使われた戦略から由来しています。トロイア戦争では、敵陣に潜入するために巨大な木馬を作り、敵がこれを城壁内に持ち込むことで内部から攻撃を行ったとされています。同様に、コンピュータの中に忍び込んだマルウェアが、ユーザーの意識外で不正な操作を行ったり、個人情報を盗み出したりするのが特徴です。

トロイの木馬は一見すると有益なソフトウェアやファイルと見分けがつきにくく、ユーザーは気付かずにそれを実行したりインストールしたりしてしまいます。例えば、メールの添付ファイルや不正なダウンロードリンクを経由して、トロイの木馬がユーザーのコンピュータに侵入することがあります。

一度侵入されると、トロイの木馬はバックドアを開き、攻撃者によるリモート制御や情報の盗み出しなどの不正行為を行うことが可能になります。

スキミングとは、クレジットカードやデビットカードなどの決済情報を不正に入手するための手口です。

具体的には、スキミング装置と呼ばれる特殊なデバイスを使用して、カードリーダーなどの決済端末に取り付けたり、カード情報を収集するための不正なECサイトやアプリを作成したりすることで、カードの情報を盗み取ります。

スキミング装置は、外見上は通常のカードリーダーやATMに見えるように作られており、被害者が気付かないようにカードを通すことで、カードの磁気ストライプやICチップから情報を読み取ります。

スキミングは、カード情報を盗むだけでなく、盗まれた情報を不正に利用して不正な取引を行うこともあります。盗まれたカード情報は、オンラインでの不正なショッピングやクレジットカード詐欺などに悪用される可能性があります。

スパイウェアは、悪意のあるプログラムの一種です。
このプログラムは、ユーザーが意図しない形でコンピュータやデバイスにインストールされ、その存在を隠し、ユーザーの活動や個人情報を盗み出すために設計されています。

スパイウェアを利用した不正アクセスの手口として、ECサイトの閲覧中に不正なリンクや広告の中にスパイウェアのプログラムを入れて、ユーザーがクリックすることで感染するという手口が一般的です。

また、無害なプログラムやソフトウェアの一部として潜り込むこともあります。一度感染すると、ユーザーの活動履歴やキーボード入力、クレジットカード情報などを盗み出し、不正な目的に悪用される可能性があります。

スパイウェアは、個人情報や機密情報の漏洩や金銭的な被害だけでなく、個人のプライバシー侵害やセキュリティリスクをもたらす恐れがあります。スパイウェアは進化しており、検出が困難なものや自己増殖するものも存在します。

以下のお役立ち資料ではセキュリティ対策について詳しく解説しています。ぜひ合わせてご覧ください。

以下では、ECサイトにおける不正アクセスを引き起こす原因について、代表的なものを4つご紹介します。

SQLインジェクション脆弱性は、ECサイトにおける不正アクセスを引き起こす最も主要な原因の一つです。
これは不正なSQLコードが意図しない方法でデータベースに挿入され、実行されることで発生します。

通常、ECサイトではデータベースを使用してユーザーの情報や注文データを管理しています。この際、ユーザーが提供するデータ（例：入力フォームの値）は、SQLクエリとしてデータベースに送信されます。

しかし、不適切な入力検証やエスケープ処理が行われていない場合、攻撃者は特殊な文字やSQLコマンドを入力することで、予期しない操作やデータベースの改ざんを行うことができます。

SQLインジェクションによる不正アクセスでは、攻撃者は不正なSQLコードを注入し、データベースに対して悪意のある操作を実行することができます。例えば、ECサイトのデータベースの内容を抽出したり、データの改ざんや削除を行ったりすることができます。これにより、ユーザーの個人情報漏洩やクレジットカードの情報漏洩を引き起こす原因に繋がります。

これはECサイトの重要な管理機能を持つ画面に対して、適切な制限や保護策が不十分な状態を指します。
具体的には、管理者機能に不正な第三者がログインできる脆弱性や、適切な認証やログイン制御が欠如している状態を指します。よって、不正なログイン者はECサイトの管理者と同等の権限を持つ画面に侵入し、重要な操作を行うことが可能になります。

この制限不備によって起こる不正アクセスの脅威は深刻であり、不正ログイン者が顧客情報や取引データを窃取したり、システムを改ざんしたり、サービスを停止させたりする危険性があります。
また、管理者画面への不正ログインが成功すると、企業の信頼性や評判にも大きな悪影響を及ぼす可能性があります。

サードパーティサービスの脆弱性とは、ECサイトに組み込まれたサードパーティ（第三者）が提供するサービスやプラグインに存在するセキュリティ上の弱点や欠陥を指します。

ECサイトは通常、決済処理、会員ログイン機能、商品レビューなどの機能を提供するために、外部のサードパーティサービスやプラグインを利用します。しかし、これらのサービスやプラグインにはバグや脆弱性が存在する可能性があります。不正アクセス者はこのような脆弱性を悪用して、不正なアクセスや攻撃を行います。

例えば、サードパーティサービスのバージョンが古く、既知の脆弱性が存在している場合、不正アクセス者はその脆弱性を利用して不正なアクセスを行うか、ECサイトのデータや顧客情報を盗み出す可能性があります。また、セキュリティパッチやアップデートが適切に適用されていない場合も、不正アクセスの原因に繋がります。

また、W２のアライアンスパートナーのかっこ株式会社が配信している「ネット通販（EC）における不正注文の原因や手口｜事業者ができる不正注文対策・不正検知とは？」の記事もあわせて確認することで、より深い知見が身につきます。

ここからはECサイトにおける不正アクセス対策のポイントを4つご紹介します。

具体的には以下になります。

①セキュリティソフトウェアの利用
②セキュアな通信プロトコルの使用
③二要素認証の導入
④3-Dセキュア

それぞれ詳しく見ていきましょう。

セキュリティソフトウェアの利用は、ECサイトにおける不正アクセスを防ぐための重要な対策の一つです。
セキュリティソフトウェアは、コンピュータやネットワーク上でのセキュリティリスクを検知し、防御するために設計されたソフトウェアのことです。

セキュリティソフトウェアは、様々な機能を持ち、複数の脅威に対して保護を提供します。一般的な機能には、ウイルス対策、マルウェア対策、ファイアウォール、スパイウェア対策、不正アクセス検知などがあります。これらの機能によって、ECサイトに潜む脅威や不正アクセスを検知し、適切な対策を実行することができます。

また、セキュリティソフトウェアは、コンピュータやネットワークにインストールされ、リアルタイムで監視や検知を行います。不正なアクティビティや攻撃の兆候を検知すると、適切なアラートや警告を発信し、迅速に対処することができます。

さらに、定期的なデータベースの更新やパッチの適用により、最新の脅威にも対応できるようになります。

通信プロトコルは、コンピュータ間やシステム間で情報をやり取りするためのルールや手順のことを指します。
セキュアな通信プロトコルは、データの暗号化や送信の完全性を保証し、第三者によるデータの傍受や改ざんを防ぐ役割を果たします。

セキュアな通信プロトコルには、一般的に「HTTPS（ハイパーテキスト転送プロトコルセキュア）」が使用されます。HTTPSは、通信内容を暗号化するためのSSL（Secure Socket Layer）またはTLS（Transport Layer Security）プロトコルを使用し、データの安全性を確保します。
これにより、ECサイト上で行われる顧客の個人情報や決済情報などが暗号化され、外部の不正なアクセスから守られます。

また、セキュアな通信プロトコルの使用により、データの暗号化と送信の完全性が確保されます。情報は暗号化された状態で送信されるため、第三者がデータを傍受しても内容を読み取ることができません。

データの改ざんや中間者攻撃が行われた場合、通信の完全性が損なわれ、エラーや警告が表示されます。これにより、ユーザーは安全な通信環境を確認し、不正なアクセスや情報漏洩のリスクを軽減できます。

二要素認証は、通常のパスワードに加えて、本人認証の要素を追加して確認を行う仕組みです。
具体的には、ユーザーがログインする際に、通常のパスワード入力に加えて、一時的な認証コードやセキュリティキーを入力する必要があります。

この二要素認証は、不正アクセスを困難にします。通常のパスワードだけでは不正なアクセスを防ぐのは難しい場合がありますが、二要素認証を導入することで、不正なアクセス者がユーザーのパスワードだけではログインできず、追加の認証要素を知らない限りアカウントへのアクセスが制限されます。

具体的な二要素認証の方法は複数あります。一つの方法は、ユーザーが登録時に携帯電話番号やメールアドレスを登録し、ログイン時に認証コードを受け取る形式です。
他の方法としては、セキュリティトークンやセキュリティアプリケーションを利用する方法もあります。

これらの方法により、ユーザーは通常のパスワードと共に、二要素認証の追加情報を提供することで本人確認を行います。

二要素認証は、不正アクセスのリスクを低減するために有効な対策です。
不正アクセス者がパスワードを盗み出しても、追加の認証要素が必要となるため、アカウントへの侵入を防ぐことができます。

ユーザーの個人情報や取引データの安全性を向上させるだけでなく、ECサイトの信頼性も高めます。EC事業者は、ユーザーに対して二要素認証の導入を促すことで、セキュリティを向上させ、顧客の信頼を獲得することが重要です。

3-Dセキュアは、クレジットカードのオンライン決済時に利用されるセキュリティプロトコルです。
このプロトコルでは、カード発行会社、加盟店（ECサイト）、カード会社の3者が関与し、ユーザーのカード情報の正当性を確認するための認証手続きが行われます。

ユーザーがECサイトで決済する際、3-Dセキュアをサポートしているカード会社では、決済画面にて追加の認証が求められます。一般的な方法は、カード発行会社が事前に設定したパスワードやSMSで送られてくるワンタイムパスワードを入力することです。これにより、正規のカード所有者であることを確認し、不正利用を防止します。

3-Dセキュアは、ECサイトにおける不正アクセスを防ぐための重要な仕組みです。不正アクセスによるクレジットカード情報の盗難や不正使用を防ぐことで、ユーザーのプライバシーとセキュリティを保護します。

また、EC事業者にとっても信頼性と安全性を高め、顧客満足度を向上させる効果があります。3-Dセキュアの導入は、ECサイトのセキュリティ対策の一環として積極的に検討すべきです。

以下の記事ではさらに詳しくセキュリティやリスクについて解説しています。
合わせてご覧ください。
【徹底比較】ECサイトに潜むリスクとセキュリティ対策を分かりやすく説明

先ほどはECサイトにおける不正アクセス対策を4つご紹介しましたが、全ての対策に共通する事は、定期点検は非常に重要だということです。
システムや不正アクセス対策ツールを導入したとしても、定期的にセキュリティの状態を確認しないといけません。

定期点検を実施することにより、もし問題が発生したとしても早期に発見することができます。これにより、不正アクセスやセキュリティ侵害などのリスクを最小限に抑えることができます。
定期点検では、サーバーやネットワークの脆弱性スキャン、ログの分析、セキュリティポリシーのチェック、セキュリティパッチの適用などが行われます。

定期点検の頻度は、ECサイトの規模やリスクの度合いによって異なりますが、一般的には1週間に1回が推奨されています。
また、定期点検はセキュリティの状態を評価し、問題を特定するだけでなく、セキュリティポリシーやベストプラクティスの遵守を確認するためにも重要です。

もし定期点検を怠って、不正アクセスを起こした時は企業は倒産に追い込まれる可能性があります。
下記の記事では、不正アクセスが企業のECサイト閉鎖に追い込まれた事例をご紹介しています。この記事も合わせて読んで定期点検の重要性を理解しましょう。

ECサイト運営に絶対不可欠のリスク対策と回避するための対処法

また、W２のアライアンスパートナーのかっこ株式会社が配信している「ECサイト開設・運営の失敗例7つと4つの注意点」の記事もあわせて確認することで、ECサイト構築する際の注意点についてより深い知見が身につきます。

上述したようにECサイトの不正アクセス対策は重要です。しかし、ただ闇雲に不正アクセス対策を行うだけでは、対策にスキができてしまう可能性があります。

よって、自社に最適な不正アクセス対策をしっかりと検討したうえで実施することが望ましいでしょう。また、今回ご紹介した内容では不正アクセス対策ツールの導入をおすすめしましたが、そもそものECサイトが脆弱だと意味がありません。
システムエンジニアなどと密に連携を図り、万全なECサイトを作り上げてください。

なお、「ECサイト構築しくじり事例100選」では、実際にEC事業者から聞いたECサイト構築の失敗事例100個とチェックポイントをまとめました。
資料は無料でダウンロードできるので、ぜひご一読ください。

また、セキュリティについてより詳しく知りたい方は、W２のアライアンスパートナーであるかっこ株式会社が提供しているオウンドメディア「フセラボ」をご確認ください！

＼Web不正検知やセキュリティに関わる最新情報、ノウハウを配信／