ECサイトから個人情報やクレジットカード情報が流出する事態は、ネットワーク技術が向上した現在でも後を絶ちません。
ECサイトは常にインターネットに接続されているため、いつ不正アクセスを受けてもおかしくない状況です。
本記事では、ECサイトからの情報漏洩について、次のことを解説します。
- ECサイトによる情報漏洩の事例
- ECサイトで情報漏洩が発生したときの対処法
- ECサイトから情報漏洩が発生するリスク
- 企業側のECサイト情報漏洩対策
情報漏洩が発生してしまったときの対処法や対策についても紹介していますので、ぜひ最後までご覧ください。
\情報漏洩発生!万が一のとき、どうすればいいの?/
不正アクセス被害後の対応手順マニュアル
▲無料ダウンロード資料
目次
2023年版:ECサイトによる情報漏洩の最新事例5選
ECサイトによる情報漏洩の中から、近年公表された事例を5つ紹介します。
- 写真用品販売店へのパスワードリスト攻撃による情報漏洩
- 家具・インテリア会社ECサイトへの不正アクセス
- 日本料理・割烹店のオンラインサイトからの情報漏洩
- 帆布メーカーのオンラインサイトからの情報漏洩
- ETC利用照会サービスからの情報漏洩
ECサイトからの情報漏洩は、他人のIDやパスワードを利用して不正アクセスを試みる「パスワードリスト攻撃」によるものと、サイトの改ざんによるものがあります。
それぞれの事例について、詳しく見ていきましょう。
【事例1】写真用品販売店へのパスワードリスト攻撃による情報漏洩
2020年6月、とある大手の写真用品販売店はなりすましによる不正アクセスが発生したことを公表しました。
不正アクセスの手法は、悪意のある者がなんらかの方法により取得した他人のID・パスワードを用いてさまざまなサイトへログインを試みる、「パスワードリスト攻撃」によるものでした。
不正アクセスは、複数のIPアドレスで国外から行われており、これにより次のお客様情報が漏洩したおそれがあります。
- 氏名
- フリガナ
- 郵便番号
- 住所(配送先住所)
- 生年月日
- 電話番号
- 性別
- メールアドレス
- ニックネーム
- 利用する店舗(最大4店)
- 注文履歴
- 保有ポイント残高
写真用品販売店では、被害拡大防止のためにお客様のログインパスワードをリセットし、メールでの注意喚起およびパスワードの再設定をしてもらうように連絡しました。
また、不正アクセスをしたIPアドレスの監視も同時に強化しています。
【事例2】家具・インテリア会社ECサイトからの不正アクセス
2022年9月、とある家具・インテリア会社は、スマホアプリへの不正なログインを約132,000件確認したと公表しました。
これは、他のECサイトから流出したID・パスワードを用いて悪意のある第三者が不正にログインを試みる「パスワードリスト攻撃」によるものです。
この攻撃により、第三者に確認されたと思われる項目は次のとおりです。
- メールアドレス
- パスワード
- 会員番号
- 保有ポイント
- 氏名
- 住所
- 建物種別
- エレベーター有無
- 電話番号
- 一部が目隠しされたクレジットカード番号
- 有効期限
この被害を受けて、家具・インテリア会社は不正ログインされた可能性があるユーザーアカウントに対し、順次パスワードのリセットを実施し、パスワードの再設定を呼びかけました。
その際に、以前利用していたパスワードや他のサイトで使い回していたものを設定しないよう注意喚起しています。
【事例3】日本料理・割烹店のオンラインサイトからの情報漏洩
2023年8月、とある日本料理・割烹店は自社のオンラインサイトで不正アクセスによる個人情報が流出したと公表しました。
情報漏洩の原因は、利用していたペイメントアプリケーションの改ざんです。その結果、次の情報が流出してしまいました。
- クレジットカード情報(1,123件)
- 個人情報(最大6,907件)
このことにより、日本料理・割烹店はお客様へ次の対応を求めました。
- クレジットカード不正利用の確認
- ログインパスワードの再設定および同一ID・パスワードを使用している他サイトのログイン情報の変更
- 不審なメールや電話への注意喚起
同時に、情報流出が発生したのは2023年2月であったため、事実関係の確認のために公表が遅れたことを日本料理・割烹店側は謝罪しています。
【事例4】帆布メーカーのオンラインサイトからの情報漏洩
2023年5月、とある帆布メーカーはクレジットカード会社から「オンラインサイトを利用したお客様のクレジットカード情報が流出しているおそれがある」と連絡を受けました。
帆布メーカーは2023年4月に新システムに移行したばかりで、旧システム(不正アクセスの対象となったシステム)とは完全に切り離されている状態でした。
しかし、リスクを最小限に留めるため帆布メーカーは次の対応を取っています。
- 安全の確認が取れるまで新システムによるECサイトも閉鎖
- 自社ECサイトでのカード決済を停止
- サイト内すべてのデータの保全を実施
- 第三者調査機関による調査も同時に開始
調査の結果、オンラインサイトからの個人情報流出と、一部のお客様のクレジットカードが不正利用されたことが確認できたため、2023年8月に公表しました。
お客様には、利用明細を確認するよう促し、クレジットカードの差し替えを希望する場合には帆布メーカー側で手数料を負担することも伝えています。
【事例5】ETC利用照会サービスからの情報漏洩
近年、利用者が多くなったETCの利用照会サービスでも情報漏洩が発生しています。
2023年10月、ETC利用照会サービスのサイトに海外のIPアドレスから大量のアクセスがあり、一部のアカウント情報が一致してしまったため悪意のある第三者にログインされてしまいました。
これにより、次の情報が閲覧されたようです。
- メールアドレス
- 登録ID
- 秘密の質問・答え
- 利用履歴
今回の被害を受けた高速道路6社は、今後同様の大量アクセスがあった場合、即座にそのIPアドレスからのアクセスをブロックする措置を講じたことを公表しました。
また、お客様にもパスワードおよび秘密の質問と答えの変更や、他のサイトで同様のIDやパスワードを使用しているときは変更するように促しています。
ECサイトで情報漏洩が発生したときの対処法3選
本章からは、ECサイトで情報漏洩が発生したときの対処法を3つ紹介します。
- 該当サービスを全面停止する
- 関係者に情報漏洩が起きたことを伝えて対応を依頼する
- サイトのセキュリティを強化する
それぞれの対策の詳細は、次項より詳しく説明します。
【対処法1】該当サービスを全面停止する
情報漏洩のおそれがある場合は該当するサービスを全面停止し、被害の拡大を防止することが何よりも重要です。
全面停止したうえで、自社で原因を調べたり第三者調査機関に調査を依頼したりするようにしましょう。
また、該当するサービスがネットワークにつながっている場合は、被害を拡大させないためにも遮断するのが賢明です。
【対処法2】関係者に情報漏洩が起きたことを伝えて対応を依頼する
情報漏洩の事実が確認された場合は、お客様や取引先などの関係者にも詳細を伝え、謝罪することが重要です。
そのうえで、次のような対応をしてもらうように伝えます。
- クレジットカード利用明細の確認
- 同じIDやパスワードの変更(他のサイトで使用していた場合)
お客様がクレジットカードの差し替えを希望した際は、手数料を自社で負担するといいでしょう。
【対処法3】サイトのセキュリティを強化する
該当サイトのセキュリティを見直し、脆弱性があるときには強化に努めましょう。
ECサイトの情報漏洩は、パスワードリスト攻撃による不正アクセスなど脆弱性をつかれたものがあります。
サイトの脆弱性を放置するとさらなる不正行為を呼び込むことになり、自社の損失も拡大しかねません。
サイトを再開する場合は、再び情報漏洩が起きないよう不正アクセスを検知するようなサービスを導入するなど、セキュリティレベルを向上させてから再開することが重要です。
ECサイトからの情報漏洩は個人・企業側双方にリスクが発生する
ECサイトからの情報漏洩は、利用しているお客様と企業側の双方に重大なリスクが発生します。
想定されるリスクは、次のとおりです。
【お客様のリスク】
- プライバシーの侵害:個人情報流出により、プライバシーが侵害されるおそれがある
- 金銭的損失:クレジットカードの不正利用や不正送金などの経済的な損失が想定される
【企業側のリスク】
- 経済的損失:情報漏洩によって被害を受けたお客様や取引先への補償手続きなどに時間を取られるなど、経済的な損失を被る
- 社会的信用の失墜:「情報漏洩が起こる=対策が不十分」と見なされ、信用を失う
- 競争力の低下:一度失った信頼を回復させるには相当な労力と時間を要するため、他社との競争力に影響が出る
情報漏洩を発生させてしまうと、お客様からの信頼を失うだけでなく、自社の経営にも多大な影響を及ぼすため、EC事業者様はセキュリティの強化を徹底的に行いましょう。
情報漏洩による炎上や風評被害が起こる前に、以下から資料をダウンロードして備えてください。
ECサイトでの情報漏洩を防ぐ主な4つの対策
ECサイトで情報漏洩を防ぐ方法には、次のようなものがあります。
【ECサイトにおける情報漏洩防止策】
- 使用するOSやアプリケーションは常に最新バージョンのものを使う
- 関係者や従業員にセキュリティ教育を徹底的に行う
- 重要な情報にはアクセス制限をかける
- ECサイトに二要素認証(※)などの不正アクセス対策を実施する
※二要素認証とは、2つの要素(ID・パスワード+顔認証など)を用いてユーザーを認証する仕組み
上記に挙げた対策を実施することで、ECサイトへの不正アクセスリスクを下げられます。
しかし、十分な対策をしても新たな手法で情報を取得しようとする悪用者がいることを忘れてはいけません。
当サイトでは、インターネットセキュリティについて解説したお役立ち資料を無料配布しています。
インターネットセキュリティへの理解を深めることは、情報漏洩を防ぐためにも重要ですので、ぜひダウンロードしてみてください。
不正アクセス検知システムの活用は情報漏洩対策におすすめ
ECサイトからの情報漏洩を防ぐためには、「サイトの脆弱性を改善する」「悪質なログインを防ぐ仕組みを検討する」など、さまざまな方法があります。
しかし、自社ですべての不正対策を行うのは、時間や人的なリソースが必要になり、通常業務を圧迫しかねません。
そこで、不正アクセス検知システムの活用がおすすめです。
たとえば、かっこ株式会社が提供する「O-MOTION」は、不正アクセス検知をリアルタイムで実施し、二要素認証やアクセス遮断で不正アクセスを防止できます。
セキュリティ対策を自社で行っている事業者様は、当サービスを導入することにより対策の自動化だけでなく、高精度で効率的な防止策を実現できます。
O-MOTIONは、大手銀行やネット証券など、強力なセキュリティを必要とする業界でも多く使用されており、信頼性の高いサービスです。
不正アクセスによる情報漏洩への対策としてO-MOTIONを活用したい方は、下記の資料をダウンロードしてご覧ください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
まとめ:ECサイトのセキュリティを強化して情報漏洩の対策を
ECサイトで情報漏洩が発生すると、お客様と事業者様の双方にとって多大な損失を発生させるため、セキュリティの強化が必要です。
ECサイトの情報漏洩対策には、次のようなものが挙げられます。
【ECサイトにおける情報漏洩防止策】
- 使用するOSやアプリケーションは常に最新のバージョンのものを使う
- 関係者や従業員にセキュリティ教育を徹底的に行う
- 重要な情報にはアクセス制限をかける
- ECサイトに二要素認証などの不正アクセス対策を実施する
しかし、自社だけでセキュリティの強化をするには限界があるため、専門的なサービスを積極的に導入してセキュリティレベルを向上させましょう。
なお、ECサイトの情報漏洩や強化すべきセキュリティに関しては、こちらの記事で紹介していますので、ぜひご覧ください。
下記の記事では、個人情報漏洩の概要や、個人・企業にできる対策を解説していますので、あわせてご確認ください。
