久しぶりにブログへのコメントを頂きました。回答を返したのですが、考えてみるとカード情報漏えいのインシデントの事ばかりを書いていて、安全なECサイト利用について個人的な考えを書いてないなと思いましたので、少し書いてみます。
キタきつねの所感
過去記事に対する上記のコメントを頂きました。回答を作る上で、改めて思ったのが、ECサイトの脆弱点を説明するが難しいという事です。
まず「素人でも分かる安全なECサイトの見分け方」という点が一番お知りになりたい事だったのだと思います。暫く考えてみたのですが、「コレ!」というものは無い気がします。
例えば、URLの「鍵マーク」です。ECサイトの安全性という観点では、カード情報や個人情報を送信する際の暗号化(保護)と、フィッシングサイトへ誘導されてカード情報を窃取される攻撃に対して防御効果が考えられます。
しかし、SSL/TLS証明書を無料で配布する「Let'sEncrypt」などがありますので、httpサイトよりははるかにマシではあるものの、ECサイトの安全性という観点では、フィッシングサイトでない事の主判断要素として使うのは危険かと思います。
※むしろ鍵付きが当たり前になったと言うべきかも知れません
緑のURL/鍵マーク(EV証明書)は、企業等の審査がある分だけ更にマシですし、無料の証明書に比べて信用度も高いのですが、海外ではEV証明書でのインシデントも発生している様ですので、判断要素の1つとしては未だに有効だと思いますが、これだけで大丈夫とは言えない気がします。
それではECサイトが決済やサイト構築に使っているパッケージはどうでしょうか?例えば国内で多くの被害を受けているEC-CUBE2系を使っているサイトかどうかは、ソースコードを見れば大体分かります。また会員登録のページ(kiyaku.php)にも癖があるので見分ける事は可能で、注意ポイントはあると言えます。
しかし世の中には色々なECサイトの実装の仕方がありますし、大きな被害を受けているEC-CUBE2系が危ない(ミスをしている)理由も様々であります。外から見るだけでは分からない、単純なセキュリティ設定ミス(例えばフォルダ公開設定ミス)も結構あるので、やはり外から見るだけではECサイトの安全性を見分けるのは難しい気がします。
www.ec-cube.net
こうした点を外から判断する為に、脆弱性診断をユーザーが行う・・というのも無理ですし、色々なECサイト構築のパッケージが使われており、私も全てを見分ける事はできませんので、ソースコードを見る、とか各パッケージの癖を見分ける、というのも難しいかと思います。
そう考えると、有効な安全なサイトの見分け方は無い・・というのが残念ながら、現時点での私の考えです。
それではどうすれば良いのか?と言えば、私は自己防衛(リスク軽減)なのかと思います。
お問い合わせの内容に対する直接の回答とはならないのですが、大手のECサイトはセキュリティ対策がしっかりしている所が多いかと思いますので、例えばAmazonや楽天市場の大手EC店舗を利用する、というのは悪い選択では無いと思います。
しかし、コメントを頂いた方の様に、特有のECサイトでしか購入できない、そうした商品もあるかと思います。
こうした場合、カード情報漏えいリスクを考えるのであれば、「他の決済手段を使う」という選択肢も考えても良いかと思います。それでも個人情報(配送情報)漏えいのリスクは依然として残りますが、例えば銀行振込みや、代引きといった手段を使った場合は、ECサイトが侵害を受けていたとしてもクレジットカードの様に他のサイトでの不正被害が発生する可能性は低くなります。
また、ECサイトによりますが、ネットプリペイドや、PayPalの様にクレジットカードが別で紐づけできる様な決済手段を使う事も、1つのECサイトが侵害を受けるかも知れないというリスクに対しては有効かと思います。
※PayPalのフィッシング被害はよく聞きますが、PayPal自体がセキュリティ侵害を受けた話は聞いた事がありません。そうした意味ではかなりセキュリティ対策がされている(枯れた技術を持っている、多層防御をしている)のではないかと思います。
ECサイト+クレジットカードという組み合わせは、あまりにも便利であるが故に、攻撃者(ハッカー)から常に狙われており、日本国内でもインシデント発生件数がなかなか減ってません。
とは言え、カードの利便性を捨てられない(銀行振込や代引きの利用が面倒、やりたくない)方も多いかも知れません。
そうした方は自己防衛策の1つとして、ネット決済専用のカードを作られるのも良いかと思います。
公共料金等をカード決済している場合、メインカードが不正被害を受けると、公共料金引き落としにも影響が出ますし、そもそも新しいカード番号を各所に再登録する手間もかかります。メインカード1枚に決済を集中させると、ポイント交換など良い事も多いのですが、クレジットカード不正があった際には結構面倒ですので、用途別にカードを持たれるといった事はリスク分散につながると思います。
※決済後払いのクレジットカード(idやQuicpayや紐づけによってはApplePay等)がネット決済で使えると同様な効果があると思いますが、対応店舗や対応スマホなどの問題でまだ難しい気がします。
他にも良いTIPSがあるのだと思いますが、この程度しか思いつきません・・・。
(他に良い知恵があれば是非ご教授下さい)
余談ですが、過去にクレジットカード情報を漏えいしたECサイトは、クレジットカード決済が再度認められるためには、PCI DSS準拠等の厳しい対策が求められますので、セキュリティ対策が少し甘い可能性がある中小のECサイトよりも、実は安全であると(一般的には)考えても良いかも知れません。
カード情報漏えいの発表ベースで見ても、同時期に関係サイトが襲われた例はありますが、同じECサイトから2度目のカード情報漏えいが出たという発表は国内ではここ数年ないかと思います。
出たら出たで信用問題になるという事もあるのかと思いますが、事故発表の統計上では、意外と安全であるという事も言えそうです。
当ブログの名前(Fox on Security)は、米国の著名なセキュリティ専門家であるKrebs on Securityにあやかって付けたのですが、このブログはコメント欄が活発な事でも有名で、多くのセキュリティ関係者がコメントを重ねあう事もあり、大型のインシデント記事ではコメント欄から学ぶことも多くあります。
当ブログは、、まもなく開設(11/5)から3年経ちますが、大した記事を書けてないからであると思いますが、感想含め、諸々のご意見をコメントに頂けましたら幸いです。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
