19年は中小企業の通販サイトが不正アクセスの対象に

　19年のクレジットカード情報を含む個人情報流出事故は、公表されている情報で42件（前年は18件）、流出した可能性がある個人情報流の件数は、20万1441件（前年は28万6210件）に上った。事故件数は倍増しているが、流出した個人情報件数は減少しており、昨年に比べて、中規模なセキュリティ事故が多かったことがわかる。昨年は10万件以上の大規模な個人情報流出事故が複数あったが、今年は数千から数万件のものが多かった。不正者の攻撃対象が、大手ECサイトだけでなく、中小企業のECサイトに及んでいることが見て取れる。

　業種も家電から、食品、化粧品、健康食品、家具、アパレル、スポーツ用品、玩具、仏具まで多岐にわたっている。

2019年ECサイトの個人情報流出事故（公表情報・クレカ情報を含むもののみ）

約半数のECサイトが完全復旧できず

　手口は偽決済フォームへの誘導が11件、カード情報入力画面や決済アプリケーションの改ざんが８件、システムのぜい弱性をついた不正アクセスが７件と、決済時に偽決済フォームなどから個人情報を取得する手段が目立つ結果になった。

　これらのセキュリティ事故が起きたECサイトのその後の状況を調べると、サイトにアクセスできなくなっている「閉鎖中」のECサイトが6サイト、「改修中」で販売をしていないECサイトが4サイト、サイト自体は存続し商品も掲載されているが、すべて在庫切れなどにより購入ができない実質的な「休止状態」のECサイトが2サイトあった。また、商品を販売中のECサイトは29サイトあったが、このうち11サイトはクレジットカード決済ができなかったり、ECモールでの購入ページに誘導するものだった。

　カード決済ができないECサイトを含めると、23サイトが完全復旧できていないことになる。また、クレジットカードで決済ができ、完全復旧しているECサイトは、約７割がECサイトをリニューアルしていることがわかった。

　セキュリティ事故が起きると約半数のサイトが完全復旧できないほか、完全復旧するにはECサイトのリニューアルが必要で、ECサイトの信頼度低下や顧客離れなどを含めると、セキュリティ事故のダメージは計り知れない。

不正アクセスは公表されないケースの方が多い？実質の被害件数は倍以上？

　ただ、これらの公表されているセキュリティ事故は氷山の一角にすぎず、公表されていない事故の方が圧倒的に多いという。

　かっこのソリューション事業部O-PLUXグループ・グループマネージャーの青木泰貴氏は、「個人情報の漏洩事故は公表されるまでに調査が必要で、それなりの経費がかかることなどから、調査をして原因を究明している会社の方が少ないです。また、不正の量が多く、公表するまでのプロセスに時間がかかりすぎて、１年以上経過しても事故が公表されないという例もあります」と話し、不正アクセスは公表されずに闇に葬られることの方が多いことを明らかにした。

かっこ　青木泰貴氏

19年はカード会社がチャージバック請求を厳格化

　ここまで、公表されている情報をベースに、19年のカード情報流出を含む不正アクセスの事例を振り返ってきたが、青木氏によると、19年のセキュリティ業界ではこれまでにない大きな変化があったという。「ECサイトでクレジットカードの不正利用があった場合、カードを不正利用された被害者がカード会社に請求の不服申し立てをすれば、本来、カード会社はECサイトにチャージバックを請求できます。ですが、取引量などのパワーバランスから、大手ECサイトにチャージバックを請求しないケースもありました。18年6月に改正割賦販売法が施行されたことで、カード会社はセキュリティ対策を加盟店に求めてきましたが、19年はより本格的になり、ECサイト側に『チャージバックの請求』を明言するとともに、『それを防ぐための不正利用対策の導入』を推進するようになりました」（青木氏）と語った。

　カード会社からのチャージバック請求を受け、かっこの不正検知サービス「O-PLUX」を導入するECサイトも増えているという。特に2～3年前ぐらいに問い合わせがあったEC・通販会社が、今年に入って同社のサービスを導入している事例が増えているそうだ。不正利用の多発でカード会社は厳格にチャージバックを請求するようになっている。不正対策をしていないECサイトは、クレジットカードの不正利用があった場合、カード会社から多額のチャージバックを請求される可能性が高くなった。まだ不正対策をしていなEC・通販会社には早急な対策が求められる。

 中規模のリスト型攻撃が多発、新種の手口も

　個人情報の流出に伴い、ここ数年で猛威を振るっているのが、ID・パスワードを組み合わせてECサイトにログインする「リスト型攻撃」だ。昨年は大手携帯会社のECサイトがリスト型攻撃の標的にされ、１億円規模の実害が生じる甚大な事故が起きた。

 　19年は昨年ほどの大事故には至っていないものの、大手アパレルの通販サイトや決済サービス、カード会社の会員サイト、宅配会社の会員サイトなど、6サイトでのリスト型攻撃が公表されている。これまでになかった巧妙な手口による不正利用もあった。

スマホ決済の普及で不正のハードルが低下？

　それはスマートフォン決済を利用した、リスト型攻撃による不正利用の手口だ。不正者はまず、既に流出している個人情報からカード会社の会員向けサービスサイトにリスト型攻撃を仕掛け、会員になりすましてサイトに侵入。その後、個人情報を窃取し、電話番号を不正者本人のものに変更。あとはSMS認証で窃取した生年月日を入力すれば、カード会社のアプリを通じてスマホ決済に窃取したカード情報を紐づけられる。そうなると不正者は、自分スマホで、他人のカード情報を紐づけたスマホ決済が限度額まで利用できるようになる。この手口により、大手流通会社のクレジットカードサービスで2200万円の被害が発生した。

かっこ（株）　川口祐介氏

　かっこのソリューション事業部O-motionグループ・グループマネージャーの川口祐介氏は、この新たな手口に背景について「スマホ決済の普及により、不正者が狙うスマホ決済サービスのアカウントの価値が高まっています。搾取した個人情報で不正を働く手段が多様化し、スマホ決済サービスとクレジットカードを紐づけることで、クレジットカードで不正決済するより、容易に不正決済ができるようになってしまいました。SMS認証は不正防止のセキュリティ対策ですが、その前段階で個人情報を取得されてしまうと、簡単に突破できてしまいます」と話し、新たな手口に警鐘を鳴らした。

スマホ決済の利便性を維持しつつセキュリティを強化するのは困難

　この手口に対策はないのだろうか。川口氏は「２段階認証や3Dセキュアなど、セキュリティレベルを高めることが１つの対策ですが、毎回2段階認証を求めると、スマホ決済サービスの利便性が低下してしまいます。利便性を落とさずに、セキュリティレベルを高めることができればいいのですが、このバランスが難しいところです」と話した。

　また、同社が提供する不正ログイン検知ソリューション「O-motion」では、不審なログインを試みるアカウントだけ2段階認証にするなど、利便性を落とさずにセキュリティレベルを高める機能があり、通販会社から好評だという。

　不正アクセスがあったECサイトは、約半数が完全復旧できず、約20％が閉鎖や休止に追い込まれている。完全復旧できた場合でも、そこまで到達するにはセキュリティ対策を含めた大規模なリニューアルが必要となるケースが多い。また、カード会社からのチャージバック請求が厳格化されていることから、実害はすべてECサイト運営者の負担になる可能性が高い。

　不正者は待ってはくれない。売上拡大の施策ばかりに手を取られ、不正対策を講じずに対岸の火事として見ていると、売上拡大どころか、ECサイトの存続自体が危ぶまれる状況に陥る。すべてのECサイトが、不正者に狙われていると思った方がいいかもしれない。

（山本　剛資）