EC運営者として、Eコマースサイトのセキュリティー対策が必要不可欠であることは以前の記事内で説明しました。Risk Based Securityの調査によると、2019年における顧客の個人情報漏洩の割合は前年と比較すると284%も増加したそうです。本記事では、来年に向けて最も懸念されているサイバー攻撃の種類について記載していきます。
1つ目に挙げられるのが、Eコマースサイトの管理や顧客情報を保管・処理するために使用するWebアプリケーションをターゲットとしたサイバー攻撃です。攻撃手法の例としてはスクリプト付のリンクを貼り被害者を悪意のあるウェブサイトに誘導するクロスサイトスクリプティング(XSS)、SQLに文字列を混入させ個人情報を盗むSQLインジェクション、不正なコマンド処理の実行を目的としたOSコマンドインジェクション、パスワードなどの情報を窃盗することを目的としたパストラバーサル攻撃、cookieの改ざんによるセッションの乗っ取り、DoS攻撃やWebスクレイピングが挙げられます。これらの手法は全て、Eコマースサイト上のセキュリティー対策の脆弱性を利用して行われます。そのため、ファイアウォール(WAF)を導入することや定期的にセキュリティー診断をすることが必要不可欠です。
2つ目に挙げられるのが、インターネットbotを利用したサイバー攻撃です。在庫に制限がある商品・サービスの価格を高騰させ後に高価格で販売することを目的としたEコマーススキャルピング、偽りのトラフィック情報を作成しEコマースサイトの動作を低下させることを目的とした帯域幅調整や、在庫情報を変更して商品が品切れであるかのように見せる手法、そして標的のWebサイト・コンピューターに大量の処理負担を与えることでサービスの機能停止を図るDDoS攻撃などが対象となります。これらはWAFを導入し、質のいいCDNを利用することでトラフィックが高騰した(ように偽られた)場合にもユーザーがEコマースサイトにアクセスできるよう手配することで対策できます。また、悪意のあるbotを監視しブロックすることも大切です。
3つ目に挙げられるのが顧客旅程ハイジャッキング(Customer Journey Hijacking)です。これは、悪意のあるユーザーがEコマースサイトに訪れた顧客のブラウザーに許可を得ていないオンライン広告を挿入・配信する手法です。これらの広告はUXに悪影響を及ぼすだけでなく、EC運営者様が提供するサービス・商品と競合対象となる製品を宣伝しWebサイトに誘導してしまいます。この手法の原因となるのが、セキュリティー対策が万全でないWiFiに接続されたデバイス上や無償のソフトウェアからダウンロードされた不正プログラムです。顧客側のセキュリティー対策が懸念点となるため、ウイルス対策ソフトのダウンロードやVPNの導入を推奨することが対策案となります。
最後に、フィッシングやスピアフィッシングなどの標的型攻撃が挙げられます。これらはサイバー攻撃の種類の中で最も一般的に使用されている手法で、悪意のあるユーザーが信頼されている組織・会社になりすまし、Eメールなどを用いて顧客や社員を偽造Webサイトへ誘導して個人情報を詐取することが目的です。対策方法として会社内でEメールの発信元アドレスを確認することを徹底し、サンドボックス製品を利用してEメールに添付されているURLが真正なものであるか診断することがあります。
テクノロジーの普及と発達が進みオンラインショッピングの需要が高まる中、そのような状況を利用してサイバー攻撃をするユーザーが増加していることも事実です。マーケティング戦略やビジネスの管理・経理などの懸念点に加えて偽造注文の防止やチャージバックの対策をすることは大変なことですが、消費者体験を向上させEC運営者様のビジネスを拡大するためにセキュリティー対策を万全に強化して来年度に向けて準備をしていきましょう。
Lizuna (https://lizuna.com/) は、3つのテクノロジーを用いてオンラインショッピングサイト上の詐欺や悪意のある注文を監視・防止する会社です。EC運営者の安全なビジネス経営のため、日々研究に刻苦勉励しています。