小売業へのハッキングとその対策

小売業は、ハッカーによく狙われる、簡単なターゲットです。e-コマースサイトが侵害されると、様々な直接的、間接的コストが発生し、膨大になる可能性があります。このブログでは、問題を掘り下げて、どう対処すべきかを考察します。

今年5月に、アジア最大の小売業者である Fast Retailing は、ハッカーが50万人近くの顧客の個人情報へのアクセスを獲得した可能性が高いことを認めました。このデータ侵害は、同社の e-コマースサイトにハッカーが不正にログインして発生しました。

このようなデータ侵害が発生すると、顧客の個人情報だけでなく、e-コマースサイト自体もリスクにさらされます。ハッカーが盗んだパスワードを使ってサイトを探し回ろうとして、ログイン画面でボットのトラフィックが大幅に急増する可能性があるためです。正当な顧客に対するパフォーマンスが悪化するだけでなく、ハッカーがユーザー名やパスワードを変更すれば、まったくログインできない顧客も出てきます。

e-コマースサイトが侵害されることによるコストは、急速に上昇します。データ侵害にあった部分を隔離して被害を拡散しないようにするための費用がかかります。サイトを使用できない顧客が商品を購入することはあり得ないので、直接的な収益の損失が発生します。さらに大きな問題として、顧客や将来の顧客を失うことによる損失は計り知れません。長い間の努力で培った信用が一気に失われ、回復するには気の遠くなるほどの時間や費用をかける必要があるかもしれません。

規制を厳守し高度な攻撃から保護することは困難

サイバー犯罪者が小売業者から情報を盗むのに成功していることは、ダークウェブに毎日大量のクレジットカードのデータが販売されていることからも明らかです。ハッカーは、なぜ小売業界を狙うのでしょうか？

まず、わかりやすい事実として、圧倒的多数の小売業者が、ペイメントカード業界セキュリティスタンダード協議会が定めるクレジットカード処理に関する一連のセキュリティ基準である PCI DSS に準拠していないことがあります。2018年の SecurityScorecard による分析で、小売業者の約91％が標準に準拠していないことがわかりました。

PCI-DSS へのコンプライアンスは競争上の差別化要因になるはずなのに、９割以上が達成できていないとは、衝撃的です。セキュリティ態勢の確立に手が回らないとすれば、サイバー犯罪者からすればかっこうの餌食です。

大量の金融取引を処理し、顧客のクレジットカードデータを大量に保存する実店舗の小売店も、サイバー犯罪者にとっては魅力的です。小売店の店舗には、インターネットに接続された多くのエンドポイントがあり、ハッキングの対象になります。小売業の高い離職率もリスクを呼び寄せます。定着しない、セキュリティ意識の低い従業員のアカウントが、フィッシングキャンペーンやその他のマルウェアによって簡単にハッキングされてしまう可能性があります。

求められる対策は何か？

まず、展開する必要のあるセキュリティ対策について十分な情報に基づいた決定を下せるように、全体的なインベントリとアプリケーションのリスク評価から始めることが重要です。その上で、出現する新しいセキュリティ脅威に対処できるようにするために、継続的なセキュリティ監視が不可欠です。

サイバー犯罪者は、小規模小売業者がハッキングを阻止するためのリソースを持っていないことを知っています。また、規模の大小にかかわらず、小売業者にとってITセキュリティは業務のコアではなく、深い見識を期待するのは難しいかもしれません。そこで検討したいのが、顧客データをクラウドに保存することです。評判の良いクラウドプラットフォームのプロバイダは、最新のセキュリティテクノロジーを利用し、進化するサイバー脅威の戦術に対処すべく、常に努力しています。セキュリティ面で問題があればビジネスを継続できなくなるので、クラウドプロバイダのデータ保護能力は、小売業者よりもはるかに勝っています。

自分たちが扱っているのが機密データであることをしっかり自覚し、軽率な行為によってデータを侵害されないよう、すべての従業員を教育することも大切です。教育内容としては、個人のパスワードと一致しない強力なパスワードを使用し、フィッシング攻撃などのマルウェアを認識できるようにして、誤って悪意のあるリンクをクリックしないようにすることなどが含まれます。また、機密データを自動的に暗号化するシステムとアプリケーションを使用するよう徹底してください。

勤務時間中に必要のないウェブサイトへのアクセスを制限することは、ハッカーによるアクセスの可能性を最小限に抑えることにつながります。社員規定として、ラップトップ、タブレット、その他のモバイルデバイス、ポータブルストレージデバイスを自分の監視が行き届かないところに放置しないことを含めることも大切です。空港で荷物を放置したままその場所を離れてはいけないのと同じことです。誰かに盗まれたり、有害・違法なものを入れられたりしないよう、自衛すべきです。

PCI DSS コンプライアンスを最初の目標に

PCI DSS コンプライアンスへのプロセスを実行することは、セキュリティ対策の基本でもあり、行動を起こすとしたら、適切なアプローチです。コンプライアンスを正確には達成できなかったとしても、セキュリティ体制を強化するために何をする必要があるかを判断できます。

参考ブログ：PCI DSS コンプライアンスについての基本

プロセスを進めていくと、コンプライアンスのためにセキュリティツールを利用する必要が出てくる場合が多いと思われます。安全なファイル転送を保証するプログレスの MOVEit は、そのようなツールの１つです。ITネットワークを常にセキュアに保ち、コンプライアンスを徹底することは、極めて困難な課題ですが、その課題を解決する指針を説明するホワイトペーパー、「 IT 管理者ガイド：情報セキュリティとコンプライアンス」も参考にしてください。

コンプライアンスを達成し、セキュリティ強化策を模索し続けることは重要です。顧客データはもちろん、社員のデータや自社の企業情報も保護する必要があります。