「ブラックフライデー」は、これまで日本ではあまりなじみのないものでしたが、最近は耳にするようになりました。 米国では、サンクスギビングの翌日が「ブラックフライデー」として、クリスマスを控えた年末商戦の皮切りの日で、一年のうちで最大のセールを実施する日でもあります。今年のホリデーショッピングシーズンには、まだ時間がありますが、小売業界が次のショッピングシーズンに遭遇する可能性のあるサイバー脅威に関して検証しました。 小売業やECサイトでの主なサイバー攻撃の手口は、POS攻撃、Webアプリケーション攻撃、インサイダー脅威、そしてデータベースや他の内部システムに対する攻撃が挙げられます。
POSサイバー攻撃
POSシステムには顧客のクレジットカード番号などの機密性の高いデータが保存されており、POSシステムを狙った攻撃は、サイバー犯罪者にとって特にポピュラーな攻撃です。
あるケース(英語)では、大手小売企業のPOSシステムがサイバー攻撃を受けマルウェアに感染し、POSシステムで使用されていたすべてのクレジットカード情報が搾取されました。 さらに、感染が他のPOSシステムにも拡散され、最終的に数百万台ものPOSシステムが感染し、膨大な量のクレジットカード情報が転売目的で盗み出されました。
ホリデーショッピングシーズンは、多くの人が頻繁に買い物をしたり、注意が散漫になっているため、盗まれたクレジットカードが悪用されてもすぐに気が付かないことから、犯罪者にとっては絶好の時期になっています。
Webアプリケーション攻撃
しかしながら、ベライゾン社の2019年度データ漏洩/侵害調査報告書によると、Webアプリケーション攻撃が最大の攻撃手段として置き換わりました。
Webアプリケーション攻撃では、企業のオンライン決済システムを侵害し、顧客のクレジットカード情報を盗むための悪意のあるコードをインストールします。攻撃者は脆弱性を悪用するため、積極的にシステムの脆弱性を探します。そのため、サイバーセキュリティ対策に十分な注意を払っていない企業が、攻撃の標的になる可能性が高くなってしまいます。
攻撃者は、Webアプリケーションの既知の脆弱性に対してインターネットと接続されている機器をスキャンし、脆弱性のある企業を標的に的を絞ります。 そして、その脆弱性を悪用して企業システムに悪意のあるコードをインストールし、クレジットカード情報等を搾取します。盗んだクレジットカード情報は、他の犯罪者に売り渡します。
有名なMagecartを含め、この種の犯罪だけに専念するサイバー犯罪グループが存在しています。 Magecartは、決済システムを直接感染させるだけでなく、サプライチェーン攻撃を足場にして複数のサイトを一度に感染させることでも知られています。Magecartのサプライチェーン攻撃では、他のWebサイトにコードを提供(広告配信サービス等)している企業を標的にします。Magecartがこれらのコードへの侵害に成功すると、侵害したコードを利用しているすべてのWebサイトへの不正なアクセスが可能になります。
盗む価値のあるデータは、顧客のクレジットカード情報だけではありません。ベライゾン社の「データ漏洩/侵害調査報告書」によると、顧客ロイヤルティプログラムから得られるポイントや個人情報も犯罪の潜在的な標的と見なされます。
インサイダー脅威
小売業は、比較的従業員の離職率が高いため、インサイダー脅威は小売企業にとって日常的な脅威になっています。 脅威の規模を把握するためには、特定の小売企業のすべての店舗と流通施設、小売企業のビジネスプロセスの一部を担っている従業員とサードパーティのすべての場所で働く人の数を想像してみてください。
インサイダー攻撃は、驚くほど簡単に実行されてしまうことがあります。例えば、従業員が顧客の機密データをフラッシュドライブにコピーし、ポケットに入れてしまえば、後は外に出るだけです。デロイト社が実施したインサイダー脅威調査の事例では、数年間で800万件のデータを大手小売業者が失っていました。その原因は、1人の従業員がデータをポータブルデバイスにコピーして持ち帰り、オンラインで犯罪者に販売していたというものでした。
Webサイト攻撃
小売業がサイバー攻撃を受けることは常に重大な懸念事項ですが、特に攻撃により企業のECサイトが停止されると事態はさらに深刻になります。 ECサイトが停止することで、販売機会が失われ顧客の不満が高まることは、どの企業にとっても悪夢のようなシナリオです。 そして、これがホリデーシーズンに重なった場合、小売業にとっては一層深刻な事態に陥りかねません。
代表的な攻撃者の手法は、分散型DoS攻撃です。あらゆる種類の大量のデータ(偽の注文や顧客サービスへの問い合わせを含む)を送りつけることで、ECプラットフォーム側が受け取った大量のデータを処理し切れず、結果としてサーバーダウンを引き起こすことになります。
また、一部のサイバー犯罪者は、会社の取引先を装い、Eメールを使って、ありもしない製品やサービスに対する不正な請求書を送りつけます。
十分なサイバーセキュリティの防御態勢を整えている企業であっても、取引先企業の防御力が弱かったり、パッチが適用されていない脆弱性を抱えていることが多いため、結果的に、攻撃者の執拗な攻撃に対して脆弱になる可能性があります。
サイバー犯罪者は、価値が高いと思われる顧客データが保存されている企業データベースを攻撃します。 また、新店舗の設置計画など、競合企業に有利となる価知的財産の窃盗を目論んでいます。
データ侵害がもたらす結果
攻撃が成功されると悲惨な事態を招くことになります。EU当局は、GDPR (一般データ保護規則)により、当該企業の全世界の年間売上の最大4%、または2,000万ユーロのいずれか高い方の罰金を科すことができます。この規制の厳しさは問題の規模に匹敵しています。企業がサイバー攻撃を受けて顧客の個人データを失うと、通常そのデータは、オンラインで取引され、私腹を肥やすために悪用しようとする犯罪者の手に渡ります。
デロイト社が調査したあるケースによると、攻撃者は小売業者の脆弱なワイヤレスネットワークセキュリティを悪用して、クレジットカード情報を傍受し、暗号化されていない顧客データベースを侵害しました。この場合、サイバー犯罪者は有効な攻撃手法が見つかるまでさまざまな手法を試しています。そして、データベースにアクセスするために必要な情報を得るまでネットワーク内に潜んでデータを傍受し続けます。攻撃を受けた企業は大きく評判を落とすだけでなく、販売機会を損失し、罰金の支払などに対処しなければなりませんでした。
小売企業を標的とするサイバー攻撃の頻度
エフセキュアが実施した調査によると、小売企業の3分の2以上(69.1%)が自社システムへのサイバー攻撃を受けています。この数字は、小売企業がサイバー攻撃の脅威を深刻に受け止めるよう促すのには十分な頻度です。しかし、フランスの大手電機企業Thale Group(タレスグループ)のレポートによると、米国の小売企業の侵害の発生は2017年から2018年の間で100%以上増加しています。Retail CIO Outlookのレポート(英語)によると、小売業全体の約3分の1が、過去数年の間にサイバー攻撃を受けた結果、損失を被っています。
ベライゾン社の2019年データ漏洩/侵害調査報告書では、2019年の小売企業への234件の侵害事例と、139件のデータ流出事例が報告されています。Webアプリケーション攻撃と特権の悪用が、主要な攻撃の手口でした。脅威アクターの81%は被害を受けた企業の外部に存在し、全ケースの97%が金銭的な動機によるものでした。また、侵害されたデータの64%が決済情報でした。
小売企業がサイバー攻撃から身を守るためには
企業がサイバー攻撃から身を守るためには、少なくとも以下の戦略を実行する必要があります。
- POSシステムを監視して侵害をチェックする
- サイバーセキュリティについて従業員を教育する
- マルウェアに対してEメールシステムをテストする
- 機密データをすべて暗号化する
- 機密データのバックアップを作成する
- 攻撃および異常なネットワークアクティビティを監視する
- 侵害が発生した場合の対応計画を策定する
小売企業は、企業システムへのアクセス権を誰に付与するかについて、さらに細心の注意を払う必要があります。アクセスは、従業員または請負業者の職務に基づいて制限し、常に監視すべきです。
サイバー犯罪者は、企業のシステムに保存されているデータを標的にするだけでなく、オンライン決済フォームに入力されたデータも捕捉します。小売業者は、決済サイトでファイル整合性監視ソフトウェアを使用して、この種の攻撃を防御すると共に、すべてのパッチの適応を検討することをお勧めします。
エフセキュアの独自調査によると、小売企業の90%以上が、今後サイバーセキュリティ予算を増額すると回答しています。しかしながら、ネットワーク侵入検知、またはAdvanced Threat Protection(ATP)ソリューションを導入している小売企業は、いまだに30%未満に過ぎませんでした。
それでも、「データ侵害の防止」や「他のセキュリティ対策をバイパスした可能性のある攻撃の検出」は、大多数の小売企業にとって最優先事項として認識されています。
このことから、小売企業がサイバー攻撃から身を守るために実施できる最も効果的な手順の1つは、 F-Secure Rapid Detection & ResponseのようなEDRソリューションやサービスを実装することだと言えます。
カテゴリ