近年サイバー攻撃が各地で多発しており、ECサイトもその標的となる被害が多く見られます。ECサイトはクレジットカード情報などの機密性が高いデータを扱う性質上、被害の規模が深刻になりやすい点が特徴であり、厳重なセキュリティ対策が必須です。
本記事では、2024年に国内のEC・通販サイトで発生した最新のサイバー攻撃事例を独自調査し、攻撃の手口や傾向を詳しく解説します。
1年間に公表されたEC・通販サイトの被害は40社
2024年にサイバー攻撃被害を公表したECサイト事業者は40社にのぼり、そのうち情報漏洩あり(おそれ含む)と公表したのは95%にあたる39社。合計漏洩件数は約162万件に達しました。半数以上が1万件以上の漏洩であり、1社あたりの平均漏洩件数は約43,776件と、多くの事例で大規模な情報漏洩が発生している実態は明らかです。
また漏洩を公表した企業の85%が非上場企業であった点についても注目すべきです。これにより、企業規模を問わず情報漏洩事件が頻発していることが示されています。
また、業界別の傾向を見ると、メーカー・小売・食品業界に対するサイバー攻撃が特に多いことが際立っています。これらの業界はECサイトの利用者が比較的多いため、攻撃の標的となるリスクが相対的に高くなるのが要因だと考えられます。
被害の特徴①クレカ情報の漏洩
今回の調査対象となった40社のうち、クレジットカード情報の漏洩を引き起こした企業は26社にのぼり、漏洩件数は合計約557,578件に達しました。他のサイト・システムへの攻撃と比較すると、ECサイトへの不正アクセスではクレジットカード情報の漏洩が特に多い傾向です。
なぜ「クレカ情報」が漏洩するのか?
2018年に施行された改正割賦販売法により、クレジットカード決済においてカード番号などを非保持化することが実質義務付けられています。そのため「不正アクセスを受けたとしても仕組み上カード情報は漏洩しないのではないか」と考えるかもしれません。
しかし、実際にはセキュリティコードなどの情報とともに情報漏洩してしまう例は後を絶ちません。それは被害企業の多くが「ペイメントアプリケーションの改ざん」による攻撃を受けているためです。
攻撃者がペイメントアプリケーションの改ざん、つまり「ECサイト内のカード入力画面を改ざんして情報を抜き取る」ケースでは、自社がカード情報を直接保持していなくてもカード情報が攻撃者の手に渡ってしまいます。
この攻撃手法は改ざん検知のシステムがないと情報漏洩が発生していることにも気づきにくく、被害の発覚に時間がかかるケースも少なくありません。
実際の事例:全国漁業協同組合連合会への不正アクセス
全国漁業協同組合連合会が運営していたECサイト「ぎょぎょいち」が、不正アクセスの被害を受けた事例を紹介します。同サイトはペイメントアプリケーションの改ざんによる攻撃を受け、11,844件のクレジットカード情報が漏洩。
2024年5月14日にサイトの一時閉鎖を発表しましたが、最終的に復旧は叶わず同年10月7日に完全閉店が決定しました。サイバー攻撃による被害がEC事業の継続そのものを困難にした事例となりました。
被害の特徴②パスワードリスト攻撃
今回の調査で2番目に多かった攻撃手法は「パスワードリスト攻撃」でした。パスワードリスト攻撃は何らかの方法で入手したID・パスワードを別のサイトで入力し、不正にログインしようとする攻撃です。
この攻撃手法では別の場所で不正に入手されたIDやパスワードを使用するため、企業側での対策が難しいとされています。しかし、被害を抑えるために二段階認証を取り入れるなどの取り組みを行うことが重要です。
実際の事例:三越伊勢丹ECで18,919件の不正ログイン
パスワードリスト攻撃は会員数の多い大手のECサイトで使われることの多い攻撃手法で、三越伊勢丹が運営するECサイトではパスワードリスト攻撃による18,919件の不正ログインがあったと明かしています。
三越伊勢丹の事例のほか、2024年11月に4件の類似した不正ログイン被害が発生しており、(事件の共通性について詳細な情報はないものの)同じ攻撃者である可能性も考えられるでしょう。
EC・通販サイトのレア被害事例:クレジットマスター攻撃
公表されたサイバー攻撃被害の中で、特徴的な事例の一つをご紹介します。
健康食品を主力商品とする日清ファルマは、クレジットカード番号の規則性を悪用して不正にカード番号を入手する「クレジットマスター攻撃」の被害に遭ったと公表しました。この攻撃では、攻撃者がカード番号の組み合わせを大量に試行することで有効な番号を見つけ出す手法が用いられます。
このような攻撃に対しては、ボットによる大量試行を防ぐための対策、具体的には、Webサイトや決済システムにおける不正アクセス検知などが効果的です。
まとめ
近年、EC・通販サイトを標的としたサイバー攻撃が多発しており、特にクレジットカード情報や個人情報の漏洩が目立っており、企業の規模や業界を問わずEC業界全体に深刻な影響を与えています。
こうした攻撃を防ぐためには、二段階認証や不正アクセス検知システムの導入、ボット対策の強化など、セキュリティ対策の徹底が不可欠です。もしセキュリティ対策やサイトの保守に不安を感じている場合は、プロフェッショナルによるサポートの検討をお勧めします。
【2024年版】サイバー攻撃被害に遭ったEC・通販サイト一覧
| 日付 | 企業名 | 攻撃手段 | 漏洩件数 | クレカ漏洩件数 |
|---|---|---|---|---|
| 1/17 | 株式会社ケーズホールディングス | アカウントへの不正ログイン | 15 | なし |
| 1/18 | ヤマモリ株式会社 | ペイメントアプリの改ざん | 9,034 | 2,727 |
| 1/26 | 株式会社大藤つり具 | ランサムウェア | 200,000 | なし |
| 1/31 | 株式会社ファインエイド | クロスサイトスクリプティング, ペイメントアプリの改ざん | 5,193 | 5,193 |
| 2/6 | 株式会社岸和田スポーツ | その他 | 38,664 | 13,960 |
| 2/6 | 東京ヴェルディ | ペイメントアプリの改ざん | 2,726 | 2,726 |
| 2/20 | 株式会社クレイツ | ペイメントアプリの改ざん | 65,520 | 4,748 |
| 2/28 | なかほら牧場 | ペイメントアプリの改ざん | 14,933 | 5,069 |
| 3/4 | 菅公学生服 | ペイメントアプリの改ざん | 3,894 | 3,894 |
| 4/10 | マルカワみそ株式会社 | ペイメントアプリの改ざん | 5,447 | 89,673 |
| 4/22 | 有限会社なごみ | ペイメントアプリの改ざん | 16,407 | 16,407 |
| 5/15 | 松井酒造合名会社 | ペイメントアプリの改ざん | 174 | 174 |
| 5/16 | 株式会社ジョイフル本田 | ペイメントアプリの改ざん | 20,132 | 3,958 |
| 5/20 | 株式会社バイオフィリア | その他 | 198,200 | なし |
| 5/21 | 全国漁業協同組合連合会 | クロスサイトスクリプティング, ペイメントアプリの改ざん | 21,728 | 11,844 |
| 5/22 | 株式会社インテンス | ペイメントアプリの改ざん | 15,198 | 15,198 |
| 5/26 | 長崎県物産振興協会 | ペイメントアプリの改ざん | 78,840 | 18,746 |
| 5/30 | タリーズコーヒージャパン株式会社 | ペイメントアプリの改ざん | 92,685 | 52,958 |
| 6/11 | 株式会社東京玉子本舗 | ペイメントアプリの改ざん | 73,961 | 65,387 |
| 6/17 | 株式会社アルファユニ | ペイメントアプリの改ざん | 3,126 | 1,054 |
| 6/18 | アカデミア・ミュージック株式会社 | ペイメントアプリの改ざん | 4,324 | 4,324 |
| 7/16 | オリーブ牛のヒガシハラ | ペイメントアプリの改ざん | 27,561 | 1,703 |
| 8/06 | 株式会社協和(ふわりぃランドセル) | ペイメントアプリの改ざん | 16,396 | 16,396 |
| 7/23 | シャープ株式会社 | ペイメントアプリの改ざん | 5,836 | 4,257 |
| 10/03 | 日清ファルマ株式会社 | クレジットマスター | なし | なし |
| 8/28 | 株式会社エーデルワイス | ペイメントアプリの改ざん | 45,355 | 45,355 |
| 10/21 | 株式会社カレルチャペック | ペイメントアプリの改ざん | 103,289 | 58,407 |
| 10/24 | 株式会社スローヴィレッジ | ペイメントアプリの改ざん | 32,345 | 4,494 |
| 10/31 | 株式会社下鴨茶寮 | ペイメントアプリの改ざん | 19,235 | 16,682 |
| 11/5 | 株式会社東西哲学書院(博文栄光堂オンラインショップ) | ペイメントアプリの改ざん | 50,338 | 15,986 |
| 11/13 | ヨネックス株式会社 | アカウントへの不正ログイン, パスワードリスト攻撃 | 53 | なし |
| 11/19 | ジュピターショップチャンネル株式会社 | アカウントへの不正ログイン | 15,000 | なし |
| 11/12 | mog株式会社 | ペイメントアプリの改ざん | 3,484 | 2,153 |
| 11/26 | オイシックス・ラ・大地株式会社 | アカウントへの不正ログイン, パスワードリスト攻撃 | 97,533 | なし |
| 11/26 | 三越伊勢丹ホールディングス | アカウントへの不正ログイン, パスワードリスト攻撃 | 18,919 | なし |
| 11/28 | 株式会社GAORA | クロスサイトスクリプティング | 不明 | 不明 |
| 11/25 | 株式会社銀時 | ペイメントアプリの改ざん | 17,171 | 2,162 |
| 09/18 | 株式会社ガンバ大阪 | ランサムウェア | 不明 | なし |
| 12/9 | 株式会社三恵 | ペイメントアプリの改ざん | 292,707 | 71,943 |
| 09/20 | 株式会社ゴルフダイジェスト・オンライン | アカウントへの不正ログイン, パスワードリスト攻撃 | 4,274 | なし |
