個人情報保護委員会は3月17日、「ECサイトへの不正アクセスに関する実態調査」を公開した。
同委員会では2018年4月から2021年3月までに、個人情報の漏えい等報告を提出したECサイト運営事業者に対しアンケート調査を実施、不正アクセス被害に関して、原因、再発防止策、損失について、回答のあった71事業者の調査結果を取りまとめた。
不正アクセスの直接的な原因として、決済画面の改ざんを引き起こす脆弱性が37%、SQLインジェクション脆弱性が31%と、ECサイト脆弱性に対する不正アクセスが多くを占めたが、ヒューマンエラーによるECサイトの管理者画面へのアクセス制限不備が15%となっている。
不正アクセスの発生理由についての認識としては、脆弱性についての理解不足が66%、技術的ノウハウの不足が59%と、情報セキュリティに関する知識面での不足を挙げる事業者が多くみられた。
再発防止策として、ECサイトの開発・構築を自社開発や外部委託から、クラウド型サービスによる構築やショッピングモール型のサービスの利用に切り替えた事業者が多くみられ、、クラウド型サービスは3%から48%に大幅増、ショッピングモール型も0%から7%に増加している。また、不正アクセス後に、半数以上(56%)の事業者で要員体制の見直しを行っている。
不正アクセスによる損失としては、約8割の事業者でECサイトを停止し、その期間は1週間から2年以上と幅があるが半年以上1年未満の回答が最多となった。具体的な損失金額は、ECサイト上の取引規模や停止期間でばらつきがあるが、1,000万円以上の損失が発生したと回答した事業者が4割以上あり、数億円の損失が発生した事業者もみられた。
不正アクセスを受けて、ほぼ全ての事業者がフォレンジック調査等の原因特定や被害範囲特定を行うための調査を実施しているが、外部に委託した場合の費用としては100万円~500万円が多く、特に200~249万円が多い結果となった。また、調査を行わなかった事業者も1社あった。
不正アクセスを受けて、大半の事業者(93%)でクレジットカード情報の漏えいが発生し、カード差し替えの手数料も大半の事業者が負担しており、その費用は1件あたり約2,000円との回答が6割で最多となった。
