日常に潜む!ネット通販の危険
ネット通販で起こりえるセキュリティリスクは、以下のとおりです。
- 利用者のデータ流出
- クレジットカード情報の不正利用
- 不正ログインによる注文
- 悪質なクレームによる詐欺
利用者・運営者のどちらにも被害を及ぼすリスクの原因を理解し、回避方法を検討しましょう。
利用者のデータ流出
ネット通販では、利用者の個人情報流出が大きな問題となっています。たとえば、以下のような個人情報の流出事例が散見されます。
- 氏名
- 住所
- メールアドレス
- 電話番号
- クレジットカード番号
- 注文履歴
東京商工リサーチによれば企業の情報流出の原因は、サイバー攻撃によるウイルス感染・不正アクセスが55.1%でした。続いてメールの送信間違いやシステムの設定ミスによる人為的な原因が26%でした。
情報流出に対して利用者が対策を講じるのは難しいため、ネット通販の運営企業によるセキュリティ向上が強く求められます。
出典:東京商工リサーチ「 個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~ 」
クレジットカード情報の不正利用
ネット通販で、クレジットカード情報が不正利用されるケースも注意が必要です。総務省によれば、オンラインショッピングの決済方法でクレジットカードは79.8%とトップでした。
一方、クレジットカード情報の不正利用は過去10年で増加し続けています。日本クレジットカード協会によれば、クレジットカードの不正利用被害は以下のとおり増加しています。
- 2014年:113億円
- 2023年:401億円
偽造カードは同年比で19.5億円から2億円へ減少する一方、番号盗用被害額は66.7億円から376.3億円に激増しました。クレジットカード決済が多いネット通販では、不正利用への対策が大きな課題です。
出典:総務省「 令和3年版 情報通信白書 第2部 ICT サービスの利用動向 」、一般社団法人日本クレジット協会「 クレジットカード不正利用被害の発生状況 」
不正ログインによる注文
不正ログインによるなりすましやいたずらの注文も、ネット通販において大きな問題です。
なりすまし注文とは、実在する第三者の氏名や住所、連絡先を不正に利用して発注する行為です。大半は代引きで行われており、実在する第三者から覚えのない商品が届いたとの問い合わせで発覚します。
一方、いたずら注文とは架空の氏名や住所、連絡先で注文をする行為です。どちらも商品を納品したあとに発覚するため、ネット通販の運営企業に大きな被害をもたらします。
なりすましやいたずら注文への対策は、以下のとおりです。
- 利用者へパスワード変更をお願いする
- 代引き注文自体を廃止
- 被害を受けたら警察に被害届を提出
- 商品の受け取り拒否に対して法的措置をとる
利用者は自分のアカウントが不正利用されないよう、 強力なパスワードを設定 しましょう。
悪質なクレームによる詐欺
商品を受け取ったあとに、悪質なクレームを入れて返金を求める詐欺行為も見られます。よくあるパターンとして、以下のようなクレームがあります。
クレームの種類 | 内容 |
---|---|
不良品・イメージと違う | 「壊れていた」「思っていた商品と違う」など |
納期の遅れ | 「届くのが遅い」「もう必要なくなった」など |
数量不足・欠品 | 「注文していた数と違う」「なかに◯◯が入っていなかった」など |
しつこいメール・電話 | 対応しても数時間後または数日後などに同じ内容でクレームを入れてくる |
悪質なクレームや詐欺行為には、「社内で共通した対応を徹底」「弁護士に相談」といった対策を講じましょう。
実際に起きたセキュリティ問題
過去、実際に起きたネット通販のセキュリティ問題について解説します。
- 健康いきいきライフスタイル
- ABCマート通販サイト
実例を参考にしつつ、どのような対策が必要なのかを十分に検討してセキュリティ対策を実施しましょう。
健康いきいきライフスタイル
2023年12月に健康食品・化粧品を取り扱う「健康いきいきライフスタイル」で、不正アクセスが発覚しました。運営企業のファインエイドは、脆弱性を攻撃されてアプリケーションが改ざんされたと発表しています。
2021年1月5日~2023年11月15日の期間で、利用者5193人の個人情報が流出しました。流出した個人情報の種類は、以下のとおりです。
- 氏名
- 住所
- 電話番号
- メールアドレス
- 生年月日
- 性別
- 注文履歴
- クレジットカードの名義や番号、有効期限、セキュリティコード
ファインエイドは2023年12月12日に警察に被害届を出し、個人情報保護委員会に報告を行ったとしています。
参考:健康いきいきライフスタイル「 不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 」
ABCマート通販サイト
靴の小売り「ABCマート」のネット通販で、不正アクセスによる個人情報の流出が2022年7月に発覚しました。ABCマートが利用していたのは、IT企業「ショーケース」の提供するクレジットカード入力支援サービスです。
ショーケースは、プログラムが不正に改ざんされていると取引先からの指摘で判明したと発表しました。すでにプログラムは修正したものの、流出の恐れがある件数については公表を控えています。
なお、ABCマートは7月24日~26日の間に、2,298件のクレジットカード番号などが流出した恐れがあると発表しました。ほかにも、ショーケースのプログラムを使用していた富士フイルムやユーキャン、出光クレジットなども情報流出を公表しています。
参考: ABC-MART「 個人情報漏えいの可能性に関するお詫びとお知らせ 」
個人向けセキュリティ対策
ネット通販を利用するなら、以下のポイントを事前に確認してセキュリティリスクを下げましょう。
- SSL証明書
- プライバシーポリシー
- 会社概要、所在地、電話番号
- ネット通販ショップの口コミや評判
SSLとは、URLの最初が「 https:// 」となる通信の暗号化技術です。Chromeの場合、URL欄の左側のアイコンをクリックして「この接続は保護されています」と表示されればSSLは有効です。
ほかにも、プライバシーポリシーや会社概要がネット通販サイト内で明示されているか確認しましょう。はじめて利用するネット通販サイトの場合は、口コミや評判をチェックするのもおすすめです。
クレジットカード番号の盗用は、もっとも懸念すべきセキュリティリスクです。盗用を防ぐためには、以下のポイントに注意しましょう。
- 定期的に明細を確認する
- フィッシングサイト ではないか注意する
- クレジットカード支払いで通知が届くように設定しておく
まず、不正利用にいち早く気がつけるよう、「定期的に詳細を確認」「支払い通知が届くように設定」といった対策を講じましょう。また、クレジットカードを利用するネット通販がフィッシングサイトではないかどうかも注意してください。
フィッシングサイトとは、正規のWebサイトに似せて作られた偽サイトを指します。フィッシング被害を防ぐには以下のポイントに注意してください。
- 個人情報やクレジットカード番号の入力を促すメールまたはSMSを警戒
- SMSやメールのURLから開かず、検索エンジンやブックマークからアクセス
- Webサイト内に不自然な日本語がないかチェック
- IDやパスワードは使い回さない
企業向けセキュリティ対策
ネット通販の運営企業が実施するセキュリティ対策は、以下の3つのジャンルに分類されます。
- 技術的対策
- 物理的対策
- 人的対策
ネット通販運営企業が講じる技術的対策、物理的対策、人的対策をそれぞれ以下の表にまとめました。
技術的対策の種類 | 概要 |
---|---|
ウイルス対策ソフトの導入 | デバイスへのウイルスの侵入を防止し、感染した場合は隔離や削除を行う |
ソフトウェア・OSのアップデート | 脆弱性の修正も行われるアップデートを実施し、ソフトウェアやOSを最新の状態に保つ |
利用者ログイン時の二段階認証 | IDやパスワードのほかに、ワンタイムキーなどによる追加認証システムでなりすましを阻止 |
データのバックアップ | 運営しているネット通販ショップの商品、会員、販売履歴などのデータベースをバックアップして万が一に備える |
SSL/TLSの導入 | インターネット通信を暗号化する技術で、現在では常時SSLが一般的 |
物理的対策の種類 | 概要 |
---|---|
入退室管理システムの導入 | 部外者の侵入を防ぐ |
施錠・防犯カメラの設置 | 盗難や窃盗の防止 |
人的対策の種類 | 概要 |
---|---|
セキュリティポリシーの策定 | 社内で実施するセキュリティ対策の方針や行動指針を策定 |
社内のセキュリティリテラシー向上 | セキュリティポリシーの周知と、定期的なセキュリティ教育によりセキュリティ意識を高める |
セキュリティ担当を配置 | 専門知識、ノウハウ、スキルのあるセキュリティ担当を配置して問題発生を予防 |
もし個人情報流出が発覚した場合、「本人への通知」「個人情報保護委員会への報告」という2つの義務を果たす必要があります。くわえて、警察への被害届の提出も検討しましょう。
参考:個人情報保護委員会「 漏えい等報告・本人への通知の義務化について 」
セキュリティへの関心度
一部の企業はセキュリティへの関心度が低く、情報セキュリティ投資を行っていないのが現状です。情報処理推進機構による2021年の調査では、過去3年間に情報セキュリティ投資を行っていない企業は33.1%でした。
情報セキュリティ投資を行わなかった理由は、以下のとおりです。
- 1.必要性を感じていない:40.5%
- 2.費用対効果が見えない:24.9%
- 3.コストがかかりすぎる:22%
2020年度の1年間に、情報セキュリティ被害にあっていない企業は84.3%でした。何らかの被害にあった企業の5.7%中、もっとも多い回答はウイルス感染の2.7%となっています。
参考:情報処理推進機構「「 2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について 」
情報セキュリティの進化と未来予測
将来的に情報セキュリティは、 AI(人工知能) を活用したより高度なシステムによって行われると予測されます。
日本政府はAIの発展やビッグデータの活用によって、Society5.0という未来社会を目指しています。Society5.0とは、サイバー空間と現実空間をAIやビッグデータによって高度に融合させた社会です。
これまではインターネット空間・現実空間に明確な境界線がありました。しかし、Society5.0ではAIの活用によって IoT 、自動運転、自動生産などにより、インターネット空間と現実空間の境界線が曖昧になります。
Society5.0に向けた変化は、セキュリティにも大きな影響を与える可能性が高いです。たとえば、Society5.0の社会ではAIを悪用したサイバー攻撃が行われる危険性は無視できません。そのため、AIを活用して未知の攻撃を検知し、原因や被害範囲を分析するASIの活用が期待されます。
ASI(Automated Security Intelligence)は、自己学習型システム異常検知技術と訳される技術です。AIがログ収集・機械学習を行い、平常状態と比較して未知の攻撃を検知します。
ほかに、通信セキュリティの向上も大きな課題として注目される未来が予想されます。働き方改革やコロナ禍により、リモートワークが社会に浸透しました。また、実店舗を持たずネット通販を展開している企業にとって、リモートワークは親和性の高い働き方です。少子高齢化が予想される日本では、今後も生産性向上の実現に向けてリモートワークの必要性がさらに増します。
そのため、リモートワークで通信セキュリティを強化する技術としてVPNが脚光を浴びています。VPN(Virtual Private Network)とは仮想専用線と訳される、 通信を暗号化するための技術 です。
企業の未来のセキュリティは、AIとVPNの2つがキーワードになる可能性が高いです。
参考: 内閣府「 Society 5.0とは 」、NEC「 AI(人工知能)を活用した未知のサイバー攻撃対策 」
ネット通販の情報セキュリティの現状を把握しトラブルを回避しよう
いまや7割以上の人が利用しているネット通販ですが、 個人情報の盗難 や情報流出などの被害にあうリスクは無視できません。日本の企業の3割は過去3年間に情報セキュリティ投資を行っておらず、サイバー攻撃への脆弱性が懸念されます。
ネット通販の運営企業は、情報流出が発生しないよう十分な対策が求められます。もし情報流出が発生すれば自社の信用を損ない、多大な損失を出す可能性が高いからです。
また、ネット通販の利用者は情報流出の二次被害を防ぐため、同じパスワードを使い回さないようにしてください。ネット通販のセキュリティリスクを十分に理解し、事業者や利用者ともに情報リテラシーの向上に努めましょう。
ワンクリックでオンラインセキュリティ対策を。
世界をリードするVPNで安全を確保