自社でECサイトを運営している事業者であれば、ECサイトへの不正アクセスや顧客データの流出やなどのセキュリティ事故について不安に感じたことがあるのではないでしょうか。 本記事では、日本のEC事業者で過去に発生したサイバー攻撃の事例や、ECサイトの運営に必要な補償について解説していきます。
ECサイトの被害状況
経済産業省による2022年のECサイトの市場規模12兆2333億円です。前年よりも21.71%の伸びており、新型コロナウイルス感染症拡大の影響で市場規模が大幅に拡大したようです。一方、ECサイトで多く使われているクレジットカード決済については、下記グラフのように不正による被害額が増加傾向にあります。
日本クレジット協会の調べによると、2022年の国内発行クレジットカードにおける年間不正利用被害総額は約330 億円に達しており、2014年(114.5億円)と比較すると3倍以上になっています。
2022年は年間不正利用被害総額のうち、94%はクレジットカード番号盗用による被害額が占めており、ECサイトへのサイバー攻撃やフィッシングなどにより、サイバー攻撃者が入手したクレジットカード情報が不正利用されています。
ECサイト運営者はこのような被害状況を認識し、EC サイトからの顧客情報の漏えいはもちろん、取引データ(仕入先情報を含む)等も含めて漏えい事故を起こさないようにすることが重要です。
よくあるECサイトのセキュリティ事故とは?
まずECサイトで特に多いセキュリティ事故は、主に第三者からのサイバー攻撃です。また、従業員等のミスや、不正行為が挙げられます。結果として起こり得るのがECサイトへの不正アクセス、顧客データの漏えい、クレジットカードの不正利用などの犯罪です。
■第三者からのサイバー攻撃
・ECサイトの改ざん
・ECサイトへの不正ログイン
・サイト停止
・クレジットカードなどの各種決済の不正利用
・顧客データの漏えい
■従業員や委託先のミス、不正行為
・顧客データの漏えい
ECサイトはサイバー攻撃の標的になりやすい
サイバー攻撃には大きく分けて、脆弱性のあるシステムを見つけて不特定多数に無作為に犯行に及ぶパターンと、標的型攻撃と呼ばれるターゲットを絞ってサイバー攻撃を仕掛けられるパターンの2つがあります。中小規模のECサイトの多くは、共有サーバーで同じショッピングカートASPを使用していたり、オープンソースのショッピングカートを利用していることが多いため、無作為にサイバー攻撃を仕掛けられることが多く、そのほとんどはサーバー会社やASP側の水際でせき止められていますが、残念ながらそのサービス利用者であるECサイトが全て標的になってしまうという事故も起こっています。
大規模のECサイトは標的型攻撃のターゲットになりやすく、抱えている情報が多いため被害も甚大です。
例えば「リスト型攻撃」と呼ばれるサイバー攻撃のターゲットになった場合、何らかの手段でIDとパスワードの組み合わせを入手したハッカーが、ECサイトへ不正ログインを試みる手法を仕掛けて、顧客データやクレジットカード情報を何万件も盗む、といったことも可能です。
特に管理者のIDとパスワードを狙う手法も散見されています。
ECサイトには顧客データや各種決済情報、ポイント情報など、ハッカーにとっては宝の山なため、こうしている今も国外・国内問わずECサイトの被害が増え続けているという現状です。
ECサイトがサイバー攻撃にあったらどうなる?
サイバー攻撃の目的がハッカー集団による嫌がらせ程度でしたら、いたずら注文や、チャージバック可能な商品の不正注文といった程度で済むかもしれません。またECサイトを改ざんし、悪意のあるサイトへ誘導する改ざん被害があるかもしれません。
被害が深刻な場合は、サーバーへの負荷でサイトを閉鎖せざるを得ない状況もあるでしょう。
しかし、ほとんどのハッカーは金銭目的です。 ECサイトや顧客システムへの不正アクセスによる個人情報漏えいが懸念されるだけでなく、盗み取ったクレジットカード情報を使って、別のサイトで「リスト型攻撃」を仕掛ける二次被害を引き起こす可能性もあります。
その場合は、当然のことながらECサイトは営業停止にして一時的にサイトを閉鎖し受注を止めて、個人情報が流出した原因を特定する必要があります。
さらにパソコンやネットワーク、社内サーバーがウイルス等に感染していた場合は、サイバー攻撃の侵入経路、不正な挙動を解析するためのフォレンジック調査が必要となり、今後のセキュリティ対策が決定するまでは営業も事業も再開できなくなります。
そしてサイトが再開できたとしても、個人情報が流出してしまった顧客へのお詫びや見舞金の支払いが必要になるほか、例えばクレジットカード情報が流出してしまった場合は、クレジットカードの再発行にかかる費用までも負担することになります。顧客や取り引き先への被害が大きい場合には、賠償責任が発生してしまうケースもあります。
また2022年4月に行われた個人情報保護法の改正により、他人の権利利益を害するおそれが大きい情報漏えい事故(1,000件を超える漏えい等)については、個人情報保護委員会への報告および本人への通知が義務化されました。もし通知しなければ、個人事業主の場合は1年以下の懲役または100万円以下の罰金、法人の場合は1億円以下の罰金が課されることとなり、より企業の責務が問われるようになっています。
そしてECサイトが閉鎖に追い込まれた場合、売上が大幅に減少するだけでなく、売上高の回復に数年を要することになります。
被害にあったECサイト47社を対象とした調査によると、1 社あたりのEC サイトの平均閉鎖期間は、8.6 か月間であり、長期間の閉鎖を余儀なくされています。(個情委調査)
実際、不正アクセスを受けたECサイトの運営事業者の14%がECサイトの再開を断念し、閉鎖が続いています。(個情委調査) 被害を受けたECサイトの運営事業者の中には、現在のEC サイト経由での売上高が、被害から1年半以上経ったにも関わらず、被害前の売上高の50%以下に落ち込んでしまったケースもあります。(IPA調査)
EC事業者で発生したサイバー攻撃の事例と対策
本項では、実際にEC事業者で発生したサイバー攻撃の事例をご紹介していきます。【リスト型攻撃】ファッション通販サイトA社の事例
● 事案の経緯利用者から「身に覚えのない登録情報変更の通知メールが届いた」との連絡を受けて調査を開始。約1か月間にわたって、不正ログインが試行されていたことが判明した。
現在は不正ログインを試行した通信元を特定してアクセスを遮断し、その他の不正アクセスがないよう監視を強化している。また、個人情報が閲覧された可能性のあるユーザーIDについてはパスワードを無効化し、パスワード再設定のお願いを個別でメールにて送付している。
● 調査により判明したこと
調査の結果、461,091件のアカウントが「リスト型攻撃」により不正ログインされていることがわかった。ユーザーの氏名や住所、電話番号などの情報が閲覧された可能性があるものの、クレジットカード情報の一部は非表示であったため、情報漏えいの可能性はないと発表している。
【不正アクセス】ブランド古着通販サイトB社の事例
● 事案の経緯所轄警察署から、運営サイトより不正に情報が送信されている可能性があると連絡を受けて調査を実施したところ、不正プログラムが発見されました。
その後速やかに不正プログラムの除去を行いましたが、さらなるリスクを鑑み同月中に運営サイトのクレジットカード決済を完全に停止し、第三者調査機関による調査も開始したようです。
● 調査により判明したこと
不正アクセスにより、クレジットカード情報18,136件が流出した可能性のあることが判明しました。個人情報流出の原因は、運営サイトのシステムの虚弱性をついた第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたこととしています。
個人情報が漏えいした可能性のある顧客には電子メールにてお詫びとお知らせを行い、クレジットカードの差し替えを希望される場合には、カード再発行の手数料を負担するとともに、再発行の依頼もV社で行うとしています。
【ランサムウェア感染】酒造メーカーECサイトC社の事例
● 事案の経緯G社が管理運用しているサーバーが、第三者による不正アクセス(ランサムウェアによるサイバー攻撃およびデータの暗号化)を受け、社内システムで障害が発生していることが確認されました。翌日には被害の拡大を防ぐためにサーバーの停止および、外部ネットワークとの遮断を行うなどの対応を行ったようです。
その後、外部の専門家の協力を得ながら情報が流出した可能性を想定し、不正アクセスを受けた情報の内容、原因や経路などの調査を進めたとしています。
● 調査により判明したこと
調査の結果、通販サイトの商品発送リストや取引先の情報、従業員(退職者含む)の情報など、約2万7700件の個人情報が流出した可能性のあることが判明しました。
個人情報流出の原因は、インターネット回線に接続したネットワーク機器のぜい弱性を悪用された可能性が高いとしています。
サイバー攻撃により想定されるEC事業者の費用損害額
EC イトの運営事業者が受ける損失のうち、売上損失以外に影響が大きいのは事故対応費用です。事故対応費用として、フォレンジック調査(PCやサーバの調査)や顧客からの問い合わせに対応するためのコールセンター設置にかかる費用、クレジットカードの再発行手数料、不正利用被害の補償額、慰謝料といった費用の負担も重くのしかかります。
中でも特に、賠償責任リスク(クレジットカードの再発行手数料、不正利用被害の補償額)は、顧客情報の漏えい件数が増えれば増えるほど、大きくなるという傾向があるようです。
事故対応費用を支出したECサイトを運営する事業者19社を対象とした調査によると、1社あたりの事故対応費用の平均額は約2,400万円となり大きな負担になっています。(IPA調査)
しかし、下記グラフのように1億円以上の事故対応費用がかかったECサイトも4社あり、経営に直結する問題といっても過言ではありません。
IPA「ECサイト構築・運用セキュリティガイドライン」
ご参考:サイバー事故対応費用の相場は?
A社の場合(顧客情報の漏えい件数約3000件)
カードの不正利用被害補償額(再発行手数料)250万円
フォレンジック調査費用 170万円
コールセンター設置費用 75万円
DM発送費用 25万円
その他費用 80万円
合計 600万円
B社の場合(顧客情報の漏えい件数約1万件)
カードの不正利用被害補償額(再発行手数料)2,800万円
フォレンジック調査費用・コールセンター設置費用・その他費用 7,000万円
合計 9,800万円
※フォレンジック調査(PCやサーバの調査)費用は、1台あたり200万円~600万円が多く、台数が増えるごとに費用が増加します。(IPA 調査)
※被害にあった ECサイトでは以下の事故対応費用がかかっています。(個情委調査)
・クレジットカード再発行手数料(被害にあったECサイトの92%が負担をして、カード1枚当たり約2000円の回答が6割)
・その他費用として、セキュリティ強化費用、弁護士やコンサルティング費用
EC事業者はサイバー保険の加入を推奨
IPA(情報処理推進機構)によると、まずは運営中のECサイトにおいて、セキュリティ構築・運用に関する対策要件をどれぐらい実装できているか、自己点検により確認することが必要、としていますが、その上で万が一、ECサイトや自社システムがサイバー攻撃による被害を受けた場合に備えて、サイバー保険に加入することを推奨しています。サイバー保険については、IPA調査でも顧客情報の漏えい事故を発生させてしまった ECサイトの多くが被害後に加入していますが、損害賠償や事故対応費用の負担、収益の減少を補う効果が認められることから、被害が発生していない場合でも被害発生に備えて加入することを推奨しています。
EC事業者がサイバー攻撃への対策として備えられる補償とは、以下のとおりです。
● 事故対応にかかる費用
・ 事故原因を特定するための調査費用
・ ECサイトの休止による利益損害費用
・ 被害サーバーの復旧作業費用
・ 顧客への見舞金費用
・ ブランドイメージ回復のための広告宣伝費
・ 二次被害防止のためのクレジットモニタリング費用
・ 再発防止策の策定費用
● 損害賠償責任に伴う費用
・ 商品到着遅延等による損害賠償費用
・ 訴訟や示談交渉にかかる費用
上記のほか、従業員のオペレーションミス情報漏えいや、従業員が故意に顧客データ等を不正利用するケースも補償がされます。
EC事業者では上記のような補償を備えることにより、サイバー攻撃を受けた場合の事後対策が可能となります。詳細な補償内容は保険会社により異なります。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っていまするため、ぜひお問い合わせください。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。
なお、ECサイトのセキュリティ構築・運用に関する対策要件をどれぐらい実装できているかの自己点検は下記のセキュリティガイドラインをご確認ください。
IPA「ECサイト構築・運用セキュリティガイドライン」
まとめ
本記事では、日本のECサイトで実際に起きたサイバー攻撃や情報漏えい事故の事例について解説してきました。ステイホームによりECサイトの利用者が急増したため、顧客情報を保護するためのセキュリティ対策や、情報漏えい事故が発生した場合の事後対策が重要となっています。サイバー攻撃を完全に防ぐことはできないため、情報漏えい事故が発生した場合の補償を備えておくといいのではないでしょうか。
弊社では主要サイバー保険を一括見積もりできる「サイバー保険一括見積もり」をご用意しております。かんたんな入力で各保険会社へサイバー保険の見積もりを依頼できますので、保険料が気になる方はぜひご利用ください。