アラタナECセキュリティ対応チーム 「ECサイトにおけるサイバー攻撃の傾向」Vol.2

～月間約2万回以上ものサイバー攻撃を検知～

株式会社アラタナ（本社：宮崎県宮崎市、代表取締役社長：濱渦伸次 以下アラタナ）のセキュリティ対応チーム「aratana-CSIRT（アラタナシーサート）」では、EC-CUBE制作実績数国内No.1を誇るアラタナのネットショップ構築サービス「カゴラボ」を対象に「ECサイトにおけるサイバー攻撃の傾向」を調査しています。
「aratana-CSIRT（アラタナシーサート）」は日本IBM・野村総合研究所等の企業から構成される日本シーサート協議会に加盟する組織で、eコマース業界における最新のサイバー攻撃の現状を分析・共有し商品・サービスの品質向上や、EC業界のさらなる発展に貢献することを目的としています。

今回のレポートでは、前回（2014年2月）の報告に続き、調査結果の中から「ECサイトへのサイバー攻撃の検知件数」と「ECサイトへのサイバー攻撃パターン別トップ5」の2つをご紹介します。



【調査概要】


調査名 ：ECサイトにおけるサイバー攻撃の傾向Vol.2
調査期間：2014年2月1日 ～ 2014年7月31日
調査対象：アラタナが運用するカゴラボサーバ約600台
調査内容：ECサイトにおけるサイバー攻撃の検知傾向に関する分析を実施
調査チーム：株式会社アラタナ aratana-CSIRT（アラタナシーサート）

------------------------------

ECサイトへのサイバー攻撃検知件数
------------------------------
aratana-CSIRT（アラタナシーサート）調べによると、683件のECサイトへのサイバー攻撃の検知件数は6ヶ月間で13万3678件。月間平均にすると、ECサイトは約2万2000件以上のサイバー攻撃を受けています。

前回（2014年2月）の報告と比較すると月間あたりの攻撃数は約3分の1に減少していますが、攻撃手法にもトレンドがあるため、aratana-CSIRT（アラタナシーサート）では今後も引き続き観測を行っていきます。

インターネットからのサイバー攻撃が無差別に行われているとは言え、特にECサイトが、なぜ外部からのサイバー攻撃の対象にされやすいのでしょうか？それは攻撃者の欲しい情報、すなわち「個人情報」がECサイトに存在するからです。何重ものセキュリティの壁に守られているとはいえ、個人情報を保有していることが明確なECサイトは、攻撃者にとって時間をかけるに値する対象となります。

セキュリティ対策を適切に行わなかった場合、ホームページ改ざんや個人情報漏えい、損害賠償請求など、甚大な被害が発生することも予想されます。お客様の情報はもちろん、ネットショップ運営者自身を守るためにも、ECサイトにおけるセキュリティはさらなる高みを目指すことが必要とされています。

------------------------------
ECサイトへのサイバー攻撃パターン
------------------------------

サイバー攻撃パターンで最も多かったのは「一般的なスパム」となっています。「一般的なスパム」とはプログラムから機械的にコメントを投稿する、いわゆる「コメントスパム」を指しており、全体の約50%を占めています。「コメントスパム」はCMSプラットフォームを対象に攻撃されることが多いです。

近年、SEO対策のためにECサイトと共にブログとして使用するWordPressなどのCMSプラットフォームの設置をご依頼いただくことが多くなっています。

通常CMSプラットフォームは、ECサイトを動かすメインのシステムと同一のサーバー内に設置することが多くなっていますが、セキュリティの観点から考えるとリスク（攻撃できる箇所）を増やすことに他なりません。こうした複数のシステムが生み出しうるリスクも考慮したセキュリティ対策を行うことが必要です。

ネットショップ運営者のリスクを最小限に留めるためには、ECサイトのセキュリティ対策について十分理解した上でサービスをご選択いただく必要があります。WEBサイトの中でも特に狙われやすいECサイトでは、情報資産を守るためのきちんとした知識を理解し、対策することが求められます。


■参考【アラタナのセキュリティに関する取り組み】
アラタナのセキュリティに関する情報は公式HPからご確認いただけます：リンク

2013年6月：アラタナのサービスを起因とする保安上の脅威となる現象や事案が発生した場合に速やかに事態の解決・改善を図る為のチームaratana-CSIRTを発足。
2013年8月：アラタナのサービスに対する脆弱性診断テストとWebアプリケーションファイヤーウォールを標準で搭載開始。
2013年9月：日本コンピュータセキュリティインシデント対応チーム協議会（通称：日本シーサート協議会 ）に加入。日本国内の特にEC業界において、単独のCSIRTでは解決が困難な事態に対して、CSIRT間の強い信頼関係に基づいた迅速かつ最適な対応を実施。
2013年10月： オープンソースEC-CUBEに特化したセキュリティ対策を継続的に行う有志グループ「EC-CUBEセキュリティワーキンググループ」の幹事に就任。
2014年2月：「ECサイトにおけるサイバー攻撃の傾向」Vol.1を発表。
2014年6月 ：OpenSSL における Change Cipher Spec メッセージの処理脆弱性へ対応。
2014年9月：GNU Bash におけるOS コマンドインジェクションの脆弱性へ対応。


------------------------------
ネットショップのセキュリティが気になる、でもどうしたら？という企業様へ
------------------------------
このレポートに関連して、ECテクノロジーに特化したイベント「アラタナカンファレンス」を開催します。ネットショップのセキュリティに関して、アラタナに在籍するプロフェッショナル達の特別講演を予定しています。
またECに関する重要人物をゲストにお招きし、ここでしか聞けない・見られないスペシャルなセッションを予定しています。

＜アラタナカンファレンス概要＞

開催日時：2014年10月9日（木）13:30～18:00（開場12:30～）　懇親会18:30～20:30
開催場所：東京渋谷ヒカリエ21Fセミナールーム
参加費：無料※懇親会は有料（参加費5,000円）となります。
定員：200名※事前申込み制

■お申し込みは特設ページからお願いいたします。
■アラタナカンファレンス特設ページ：リンク


【アラタナについて】
アラタナはネットショップを『つくる技術』と、その運営を『サポートする技術』をコアコンピタンスとして、お客様のビジネス成功のためのサービスを行っています。2007年の設立から5,000社を超えるお客様にサービスをご利用いただいており、今後もECに特化したサービスの充実、拡大を図ってまいります。
会社名：株式会社アラタナ （リンク）
本社所在地：宮崎県宮崎市錦町1-10 宮崎グリーンスフィア壱番館5階
代表取締役：濱渦伸次
事業内容：ネットショップ制作、運営代行、撮影代行、ネットショップ関連アプリケーション提供 他
　　　　　ECサイト構築パッケージサービス カゴラボ（リンク）
　　　　　ネットショップに特化したデザインアプリケーション スケッチページ（リンク）
資本金：2億8273万5千円


【報道関係者様へのお願い】
本調査結果を掲載される際には、「アラタナ調べ」とご明記ください。
PDF版・グラフデータは、アラタナオフィシャルサイトよりダウンロードいただけます。
リンク


【本件に関するお問い合わせ先】
株式会社アラタナ
TEL：0985-23-3362（受付時間：平日10:00-18:00） FAX：0985-22-8580
Email：info@aratana.jp

報道関係お問い合わせ先：株式会社アラタナ広報
TEL：0985-23-3362　Email：pr@aratana.jp

プレスリリース提供：PRTIMES リンク