ITお役立ち情報
2021/02/24

小売業が対策すべきセキュリティリスクとは?

小売業が対策すべきセキュリティリスクとは?

AIを活用したサイバーセキュリティサービスを開発・提供する株式会社サイバーセキュリティクラウドの調査によれば、2019年10月~2020年9月の1年間で不正アクセスによる個人情報漏えいがもっとも多かった業界は、小売業界だったといいます。

ECサイトはもちろん、ポイント会員などのクレジットカード情報といった重要な個人情報が集積する小売業は、サイバー攻撃者の魅力的なターゲットだといえるでしょう。

また、購買活動が活発になる時期ほどサイバー攻撃が増える傾向があります。これまで日本でセールが催され、購買活動が集中していたボーナス支給後の7月やクリスマス・年末年始などに加え、日本にはあまりなじみのなかった「サイバーマンデー」「ブラックフライデー」といった新たなセール習慣が海外から入ってきた昨今、さらに恰好の攻撃対象となっているといえそうです。

本コラムでは、小売業なら把握しておきたいセキュリティリスクについて解説いたします。

POSサイバー攻撃

POSシステムは、顧客のクレジットカード情報を始め、店舗の在庫情報や返品処理のほか、コストや利益の分析、購買トレンドなど店舗ビジネスを支えるさまざまな情報が詰まっています。そのため、サイバー攻撃者にとっては価値のあるターゲットの一つといえます。

手口としては、POSシステムをマルウェアに感染させてクレジットカード情報を漏えいさせる方法が主流で、まず、いずれの店舗かの1端末を感染させた後、プライベートネットワーク(専用回路)を介して他店舗のPOS端末を次々に感染させ、最終的に全店舗が保有するカード情報を窃取するといった事例が過去に起きています。

Webアプリケーション攻撃

オンライン決済システムを中心とするWebアプリケーションの脆弱性を狙う攻撃です。
具体的な攻撃手法としては、クロスサイトスクリプティング、SQLインジェクション攻撃、OSインジェクション攻撃などが多く、顧客のクレジットカード情報などを窃取されます。

クロスサイトスクリプティングとは、掲示板などへの書き込みの際にプログラム(スクリプト)を埋め込み、閲覧するとプログラムが実行されるという攻撃です。
SQLインジェクション攻撃とは、Webアプリケーションと連動しているデータベースが狙われるもので、データベースを操作する言語「SQL」を悪用して不正に操作する攻撃です。
OSインジェクション攻撃とは、アプリケーションの脆弱性につけ込んで不正なOSコマンドを送信して不正にアクセスする攻撃手法です。

もしくは、DoS攻撃やDDoS攻撃、DRDoS攻撃など、大量のデータやリクエストを送信することで、顧客に対して提供しているWebサービスをダウンさせてしまう方法もあります。

インサイダー脅威

小売店の従業員や元従業員が情報を持ち出すタイプです。
バックヤード業務に比べ、接客系の業務では離職率が高い傾向があり、従業員のでき心や気軽な気持ちで犯行に及びやすいといえます。
近年は、最初からインサイダー犯行を狙って攻撃者が外部から企業内に内通者を送り込むケースも現れています。
また、故意に情報を漏えいさせるだけでなく、ミスによるものもインサイダー脅威に含まれます。

特許や特殊技術などノウハウを競合へ売り渡したり、機密情報や重要なデータをUSBメモリなどでコピーして持ち出したり、社内の重要データを消去または改ざんする、マルウェアなどを感染させてシステムをダウンさせる、社内システムへアクセスできるアカウント情報をサイバー攻撃者へ不正に販売するなど、アナログ、デジタルを問わずさまざまなものがあります。

Webサイト攻撃

ECサイトやコーポレートサイトなど、小売業者が運営するWebサイトを改ざんし、マルウェアを仕込んだり、画像やテキストを不正なものに置き換えたりするものです。
改ざんされたWebサイトをただ閲覧しただけでマルウェアがダウンロード、インストールされる手法が増えています。

閲覧者の個人情報を窃取するほか、クリックジャッキングなどの手法でECサイトやネットバンキングサイトを装った不正なサイトへ誘導し、クレジットカード情報や金銭を窃取するケースもあります。

不正アクセスによる個人情報漏えい

個人情報を狙い、小売業界企業のサーバなどを攻撃するサイバー攻撃者もいます。
攻撃手法としては、サーバシステムの脆弱性を突いた攻撃、Webサービスに対するDoS攻撃・DDoS攻撃・DRDoS攻撃、ブルートフォースアタックといったものがあります。

こうした直接的に企業を狙うものに加え、標的型メール攻撃や水飲み場型攻撃のように個々の従業員を狙い、不正アクセスの踏み台にするものまであります。

まとめ

顧客のクレジットカード情報など、重要な個人情報が集まる小売業はサイバー攻撃者のターゲットとなりやすい業界です。
外部からの不正アクセスのほか、内部不正も起きやすく、両面からの対策が必要となります。

次回は、こうした小売業が抱えているセキュリティリスクに対し、どのように対策すべきかをご紹介します。

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。

ITでお悩みのご担当者様へ

弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談下さい。

INES_logo_CTA