最近は消費者向けのみならず、企業向けにもECサイトを構築して運用している企業が多いかと思います。
さて、実はここのところECサイトからクレジットカード情報の漏洩が相次いでいる事に気付いておられるでしょうか?
NHKによる報道からザックリと洗い出してみたのが以下になります。
- 2022年2月28日報道 46万件あまり メタップスペイメントのサービスを利用した各社
- 2022年6月8日報道 7,400件あまり スイーツパラダイス
- 2022年7月13日報道 2万8千件あまり カタログギフトのハーモニック
この他にも、ディスクユニオンのECサイトから70万人あまりの個人情報(アカウント情報含む)が漏洩した結果、そこで得たアカウント情報を元に様々なサイトへのパスワードリスト攻撃が行われ不正にログインされたという報道が相次いでいるのも記憶に新しいところです。
さて、先に挙げたクレジットカード情報が漏洩した3件とアカウント情報が漏洩した1件ですが、いずれもECサイト、もしくは、決済システムに脆弱性があり漏洩したものである事が判っています。特に、クレジットカード情報の漏洩はページの改竄が行われ、利用者が気付かないうちに悪意の第三者に入力したクレジットカード情報がリアルタイムで送信された結果、漏洩したものになります。
2月28日報道の決済会社が引き起こした事件は論外として、それ以外はいずれもECサイトの脆弱性によるものであり、管理責任はECサイト運営者にあります。適切に管理され、ECサイトで利用しているシステムが最新の状態になっていれば防げた可能性がある事件とも言えます。
実は弊社でも、ある企業様が運営するECサイトを軽くチェックした事があるのですが、使われているシステムが最新版になっておらず至る所に脆弱性があり報告した事があります。しかしながら、なかなか危機感を共有できなくて(一応、個人情報流出の可能性やクレジットカード情報漏洩の可能性を指摘しました)いつまで経っても修正されなかった事がありました。
さて、先にも書いた通り、ECサイトに脆弱性がなければ各種情報の漏洩は「一応」防げるんですよね。でも、事件が相次ぐのは「ECサイト運営者に危機感がない(自分の所は大丈夫という慢心)」からなのだと思います。
しかしながら、実際に情報漏洩事故を起こしてしまうと、事後の対応に多大な時間と労力、そして金銭的負担がのしかかってきます。問い合わせ窓口を設置したり、クレジットカード再発行の補償をしたり、事故調査と対策等。本当に負担が大きいものになります。企業規模によっては事業停止などという事態を招く事もあります。
「転ばぬ先の杖」という諺があります。適宜、ECサイトの脆弱性診断をしておき、脆弱性が発見された際には適切に対応する事で事故は未然に防ぐ事も可能です。(知らなければ)何もないのにお金をかけるのは勿体ないという経営者もいるかもしれません。しかしながら、事故を起こしてしまった際にかかる費用に比べると格段に安価で済むので強くオススメしたいところです。
筆者もクレジットカード情報漏洩の被害に遭った事があり、その際にカード会社の方とお話をしましたが、今は昔と違って実店舗でのスキミング被害は極めて少なく、また、カードへのICチップ搭載も進んでいる事からスキミングを行う事自体が困難になっているため、クレジットカードの不正利用の多くがネットからの漏洩だとの事でした。しかも、年々被害は拡大しているとも…
御社も悪意の第三者に手を貸す事にならないよう、事前の対策をしっかりするようお願い致します。被害者(御社のお客様)の負担は相当なものです。筆者も被害に遭って事後対応(カード情報変更届等)が本当に大変でした。