ECサイトで個人情報を完全に守る方法はありません。ですが、それに最も近づける選択肢はあります。

WPでEC運営、やめとけ。その理由と代替策を本気で解説する

セキュリティリスクは身近に潜んでいる

black iphone 5 beside brown framed eyeglasses and black iphone 5 c

ECサイトはもとより、あらゆるウェブサービスにおいて、個人情報の流出はとてもリスキーだ。
個人情報を流出させるサイバー攻撃の結果として、Yahoo(米国)の130億円の和解金の例がとても有名ではあるが、LINE、リクナビ、ベネッセなど、大企業であっても攻撃の被害に晒されてしまう現実に直視が必要だ。
自分とは関係ないところで発生している事象だと感じてしまう場合も多いが、国境や企業やサイトの規模など関係なくサイバー攻撃が行われており、どこかの会社が被害を受けている。

サイバーセキュリティラボのインシデントニュースをご覧になっていただくと、実に多くの企業が被害に遭っている事がわかる。
https://www.gate02.ne.jp/lab/incident-news/

個人情報流出が待ち受けているもの

ユーザー側の被害

2014年にベネッセで発生した個人情報流出では、知らない業者からDMが届いたり、子供の名前まで漏れていたという声が上がっていましたが、その他にも次のような被害が想定されます。

  • スパムメールや迷惑電話の増加
  • フィッシング詐欺
  • なりすまし
  • クレジットカード悪用
  • 個人情報の転売・拡散
  • 精神的なストレス、不安

企業側の被害

2013, 2014年のYahoo.inc(米国)を相手どった集団訴訟が有名です。日本では先に挙げたベネッセの他にも、2021年にはZホールディングスが委託先の中国の業者が個人情報を閲覧できる状態にしておいたということで、行政指導を受けています。この他にも次のような事が想定されます。

  • 社会的信用の失墜
  • 行政処分、指導
  • 保証費用の発生
  • 株価急落
  • 内部統制の見直し
  • 訴訟リスク

ECサイトでの個人情報流出の危険性

ECサイトはクレジットカード情報や住所、個人名、購入履歴などお金と結びつきやすい情報を抱え込む性質があるので、狙われやすいジャンルです。

例えば2018年にはZOZOTOWN、2023年には三越伊勢丹オンラインがそれぞれ被害にあっており、ZOZOでは一部補償、三越伊勢丹ではクレジットカード再発行、当該サイトの停止などの対応をとりました。

WordPressを使ったECサイトの危険性

上述したように、ECサイトは標的になりやすい性質を備えていながら、オープンソースのWordPressを使ったECサイトが実際に稼働しているのを見るととても悲しい気持ちになります。

確かにWPをECサイトとする代表例、WooCommerceやWelcartといったプラグインは、それ自体は素晴らしいものではありますが、ソースコードが開示されているWPを使うということは、現時点ではセキュリティリスクを度外視しているとしか思えない暴挙と捉えても間違いないはずです。

ではなぜWPの利用を担当者は考えたのかという点に疑問が生じます。
おそらく以下のような理由ではないでしょうか。

  • 初期費用ゼロ神話
  • 自由度が高い
  • 制作会社任せ
  • ブログと一緒にすることでSEOの強化狙い
  • 警戒心が低い、リスクを知らない

しかしながらこれら理由のほとんどは、現在のECカートシステムで対応できるものばかりです。
初期費用ゼロ神話を信じるのであればBaseを使えば良く、自由度に関しては殆どのECカートシステムに標準で装備してあります。SEOの効果についても、どのカートシステムでもコンテンツマーケティングは可能ですし、SEOだって可能です。

小規模サイトほど狙われている

小規模サイトは、予算や人手が限られており、セキュリティが甘いとバレていることを認識すべきです。
今のサイバー攻撃は自動化されており、shodanなどのセキュリティボットが脆弱性のあるサイトを探し回り、踏み台として利用できないか巡回し、脆弱性を見つけたら即攻撃されます。

情報よりも踏み台

情報量の少ない小規模サイトでは、情報を盗むのではなく踏み台として利用されます。マルウェアの配信元にされたり、DDos攻撃のサーバーにされたり、被害者が気づきにくい事が一番の武器となります。

メイクショップを使った対策

これらリスクに対して正当に立ち向かうのであれば、メイクショップは最高の武器となります。
セキュリティインシデントに対するアップデートは常に行われており、盗み見や公開などで自分から情報を漏らさない限り、かなり高いレベルで情報が守られています。

さらにメイクショップでは決済は別会社を利用することになり、自社でクレジットカード情報を保持することがありません。

もちろん万全で、全てにおいて対応可能というわけではありませんが、有力な選択肢の一つであることに変わりはありません。

セキュリティ対策やることリスト

  • IPAの情報確認(https://www.ipa.go.jp/security/anshin/measures/start.html)
  • 自社でクレジットカードを保持していないか確認
  • 管理画面のURL、ID、PASSが強固なものか確認
  • セキュリティアップデートが行われているか確認
  • 外部委託業者のセキュリティ確認

まとめ

WPでECはやめとけ(n回目)、小規模サイトほど狙われているぞ。

 

 

 

 

お知らせ一覧を見る