小売業が対策すべきセキュリティリスクとは？

AIを活用したサイバーセキュリティサービスを開発・提供する株式会社サイバーセキュリティクラウドの調査によれば、2019年10月～2020年9月の1年間で不正アクセスによる個人情報漏えいがもっとも多かった業界は、小売業界だったといいます。

ECサイトはもちろん、ポイント会員などのクレジットカード情報といった重要な個人情報が集積する小売業は、サイバー攻撃者の魅力的なターゲットだといえるでしょう。

また、購買活動が活発になる時期ほどサイバー攻撃が増える傾向があります。これまで日本でセールが催され、購買活動が集中していたボーナス支給後の7月やクリスマス・年末年始などに加え、日本にはあまりなじみのなかった「サイバーマンデー」「ブラックフライデー」といった新たなセール習慣が海外から入ってきた昨今、さらに恰好の攻撃対象となっているといえそうです。

本コラムでは、小売業なら把握しておきたいセキュリティリスクについて解説いたします。

POSサイバー攻撃

POSシステムは、顧客のクレジットカード情報を始め、店舗の在庫情報や返品処理のほか、コストや利益の分析、購買トレンドなど店舗ビジネスを支えるさまざまな情報が詰まっています。そのため、サイバー攻撃者にとっては価値のあるターゲットの一つといえます。

手口としては、POSシステムをマルウェアに感染させてクレジットカード情報を漏えいさせる方法が主流で、まず、いずれの店舗かの1端末を感染させた後、プライベートネットワーク（専用回路）を介して他店舗のPOS端末を次々に感染させ、最終的に全店舗が保有するカード情報を窃取するといった事例が過去に起きています。

Webアプリケーション攻撃

オンライン決済システムを中心とするWebアプリケーションの脆弱性を狙う攻撃です。
具体的な攻撃手法としては、クロスサイトスクリプティング、SQLインジェクション攻撃、OSインジェクション攻撃などが多く、顧客のクレジットカード情報などを窃取されます。

クロスサイトスクリプティングとは、掲示板などへの書き込みの際にプログラム（スクリプト）を埋め込み、閲覧するとプログラムが実行されるという攻撃です。
SQLインジェクション攻撃とは、Webアプリケーションと連動しているデータベースが狙われるもので、データベースを操作する言語「SQL」を悪用して不正に操作する攻撃です。
OSインジェクション攻撃とは、アプリケーションの脆弱性につけ込んで不正なOSコマンドを送信して不正にアクセスする攻撃手法です。

もしくは、DoS攻撃やDDoS攻撃、DRDoS攻撃など、大量のデータやリクエストを送信することで、顧客に対して提供しているWebサービスをダウンさせてしまう方法もあります。

インサイダー脅威

小売店の従業員や元従業員が情報を持ち出すタイプです。
バックヤード業務に比べ、接客系の業務では離職率が高い傾向があり、従業員のでき心や気軽な気持ちで犯行に及びやすいといえます。
近年は、最初からインサイダー犯行を狙って攻撃者が外部から企業内に内通者を送り込むケースも現れています。
また、故意に情報を漏えいさせるだけでなく、ミスによるものもインサイダー脅威に含まれます。

特許や特殊技術などノウハウを競合へ売り渡したり、機密情報や重要なデータをUSBメモリなどでコピーして持ち出したり、社内の重要データを消去または改ざんする、マルウェアなどを感染させてシステムをダウンさせる、社内システムへアクセスできるアカウント情報をサイバー攻撃者へ不正に販売するなど、アナログ、デジタルを問わずさまざまなものがあります。