ECサイト・Webサービスの不正アクセス対策

2025年11月03日作成

コラム

ECサイトは24時間365日、世界中から攻撃を受けています。特に顧客情報と決済情報を扱うため、一度の漏洩が致命的な損害につながります。実際、2024年の大手ECサイト情報漏洩では平均2.3億円の損害が発生しました。本記事では、PCI DSS準拠から不正検知システム、GDPR対応まで、ECサイトに必要なセキュリティ対策を網羅的に解説します。

ECサイトを狙う攻撃の実態

ECサイトは攻撃者にとって金のなる木です。クレジットカード情報と個人情報という二つの高価値データが集中し、24時間365日稼働しているため、常に狙われています。

2025年の被害状況

国内ECサイト被害統計

2025年上半期のデータは衝撃的です。情報漏洩件数は127件と前年同期比45%増加し、流出情報総数は850万件に達しました。内訳はクレジットカード情報210万件、個人情報640万件となっています。

被害額の合計は315億円という巨額に上り、その内訳は：

直接的損失（不正利用被害）：125億円
賠償・補償費用：89億円
システム復旧費用：34億円
機会損失（サイト停止による売上減）：67億円

攻撃手法で最も多いのはWebスキミング（35%）で、決済画面から直接カード情報を盗み出す手法です。次いでSQLインジェクションが22%、アカウントリスト攻撃が18%、内部不正が12%、XSS攻撃が8%となっています。

業界別被害状況

業界	被害件数	平均被害額	主な攻撃手法
ファッション	35件	1.8億円	Webスキミング
食品・飲料	28件	1.2億円	アカウント乗っ取り
家電・PC	22件	2.5億円	SQLインジェクション
コスメ・美容	18件	0.9億円	XSS攻撃
総合通販	15件	4.3億円	内部不正

ファッション業界が最も狙われやすく、総合通販は件数は少ないものの被害額が大きいという特徴があります。

Webスキミング（Magecart）攻撃

Webスキミングは、実店舗のスキミング装置のデジタル版です。正規の決済画面に悪意のあるJavaScriptを埋め込み、顧客が入力したカード情報をリアルタイムで窃取します。

攻撃の仕組み

攻撃者は巧妙な手法でコードを仕込みます。正規の決済処理を妨げることなく、バックグラウンドでカード番号、名義人、有効期限、CVVコード、請求先住所などすべての決済情報を収集します。

収集したデータは、画像リクエストやAjax通信を装って攻撃者のサーバーに送信されます。Base64エンコードや暗号化により、通常のセキュリティ監視では検知が困難です。

最も恐ろしいのは、顧客も事業者も気づかない点です。決済は正常に完了し、商品も届くため、カードの不正利用が発覚するまで誰も異常に気づきません。

侵入経路の詳細

1. CMSの脆弱性（40%）
EC-CUBE、Magento、WooCommerceなどのCMSの脆弱性が最も狙われます。特にプラグインの更新を怠ると、既知の脆弱性から簡単に侵入されます。管理画面の弱いパスワードも狙われやすいポイントです。

2. サードパーティスクリプト（30%）
Google Analytics、広告タグ、チャットツールなど、外部から読み込むJavaScriptが改ざんされるケースです。信頼できるサービスでも、サプライチェーン攻撃により悪用される可能性があります。

3. サプライチェーン攻撃（20%）
決済モジュールやJavaScriptライブラリ、CDNの改ざんによる攻撃です。一つのライブラリが侵害されると、それを使用する数千のECサイトが一斉に被害を受けます。

4. 内部犯行（10%）
退職者のアクセス権が残されていたり、現職従業員が権限を悪用したりするケースです。内部からの攻撃は検知が遅れやすく、被害が拡大しやすい特徴があります。

顧客情報保護対策

個人情報保護法対応

2022年4月の改正個人情報保護法により、ECサイト事業者の責任は格段に重くなりました。

安全管理措置の実装

法律で義務付けられた4つの安全管理措置を確実に実装する必要があります。

組織的安全管理措置: 個人情報保護責任者を任命し、取扱規程を策定。年2回以上の内部監査を実施し、全従業員と秘密保持契約を締結します。インシデント発生時の報告体制も明確化が必要です。
人的安全管理措置: 年4回以上の従業員教育を実施。アクセス権限管理台帳を作成し、誰がどのデータにアクセスできるか明確化。退職者のIDは即日削除し、全従業員から個人情報取扱いに関する誓約書を取得します。
物理的安全管理措置: サーバールームの施錠管理、入退室記録の保持、機器の盗難防止策、重要書類の施錠保管を徹底。クリアデスクポリシーを導入し、離席時は機密情報を隠す習慣を定着させます。
技術的安全管理措置: 最小権限の原則に基づくアクセス制御、最低1年間のログ保管、保存・通信時の暗号化、定期的な脆弱性診断と対策を実施。特にログは、インシデント時の原因究明に不可欠です。

データ暗号化の実装方針

個人情報はAES-256による暗号化を標準とします。暗号鍵は定期的にローテーションし、鍵管理はHSM（Hardware Security Module）の使用を推奨します。

クレジットカード番号は特別な扱いが必要です。表示時は先頭6桁と末尾4桁のみ表示し、中間部分はマスクします。完全な番号はトークン化して、PCI DSS準拠環境でのみ保管します。

データベースレベルでの透過的暗号化（TDE）と、アプリケーションレベルでの暗号化を組み合わせることで、多層防御を実現します。

GDPR対応

EU居住者の個人データを扱う場合、GDPRへの対応が必須です。違反時の制裁金は年間売上の4%または2000万ユーロの高い方が適用されます。

必要な機能実装

要件	実装内容	対応期限
同意管理	Cookie同意バナー、明示的な同意取得機能	即時
データポータビリティ	機械可読形式でのデータエクスポート機能	30日以内
忘れられる権利	完全なデータ削除機能（バックアップ含む）	30日以内
アクセス権	保有個人データの開示機能	30日以内
処理制限権	データ処理の一時停止機能	30日以内

Cookie同意管理の実装

Cookieは必須、分析、マーケティングの3種類に分類し、それぞれ個別に同意を取得します。

必須Cookieは、サイトの基本機能に必要なセッション管理やカート情報の保存に使用。分析Cookieは、Google Analyticsなどのアクセス解析。マーケティングCookieは、リターゲティング広告やパーソナライゼーションに使用します。

同意記録にはタイムスタンプとバージョン情報を含め、監査証跡として最低3年間保存します。同意が得られなかった場合は、該当する機能を確実に無効化する必要があります。

決済セキュリティ

PCI DSS準拠

クレジットカード情報を扱うすべてのECサイトは、PCI DSS（Payment Card Industry Data Security Standard）への準拠が必須です。

12要件の実装詳細

PCI DSSの12要件を、実務レベルで解説します。

要件1-2：ネットワークセキュリティの構築と維持
ファイアウォールによるカード情報環境（CDE）の保護が必要です。DMZ構成により、Webサーバーとデータベースサーバーを分離。デフォルトパスワードはすべて変更し、不要なサービスは無効化します。

要件3-4：カード会員データの保護
保存時はAES-256で暗号化、伝送時はTLS 1.2以上を使用。暗号鍵管理はHSMが理想ですが、最低でもデータ暗号化キーとキー暗号化キーを分離します。PANの表示は先頭6桁と末尾4桁のみに制限。

要件5-6：脆弱性管理プログラムの維持
アンチマルウェアソフトの導入と定期更新、できればEDRの導入を推奨。セキュアな開発プロセスとして、OWASPガイドラインに準拠したコーディング規約を策定し、すべてのコードレビューでセキュリティ観点を含めます。

要件7-8：アクセス制御手段の実装
Need-to-Know原則に基づき、職務に必要な最小限のアクセス権のみ付与。すべてのユーザーに一意のIDを割り当て、多要素認証を必須化。パスワードは8文字以上、90日ごとの更新、過去4回との重複禁止。

要件9：カード会員データへの物理アクセスの制限
データセンターやサーバールームへの入退室管理、監視カメラの設置、訪問者の記録と付き添い。媒体の廃棄時は物理破壊またはDOD規格での完全消去。

要件10-11：ネットワークの定期的な監視およびテスト
すべてのアクセスログを記録し、最低1年間保管（3か月はオンライン）。四半期ごとのASV脆弱性スキャン、年次ペネトレーションテスト、ファイル整合性監視の実施。

要件12：情報セキュリティポリシーの維持
包括的な情報セキュリティポリシーを策定し、年次レビューと更新。全従業員への年次教育、インシデント対応計画の策定と訓練。

SAQ種別と対応レベル

SAQタイプ	対象事業者	要件数	想定コスト
SAQ A	決済代行へ完全リダイレクト	22項目	50万円
SAQ A-EP	決済代行のiframe埋め込み	139項目	200万円
SAQ D	自社でカード情報処理	329項目	500万円以上

中小ECサイトには、SAQ Aレベル（完全リダイレクト型）を強く推奨します。

3Dセキュア2.0実装

3Dセキュア2.0は、カード不正利用を防ぐ最も効果的な対策の一つです。

実装による効果

3Dセキュア2.0の導入により、以下の効果が実証されています：

チャージバック率が平均60-70%削減
ライアビリティシフトにより、不正利用時の責任がカード会社へ移行
リスクベース認証により、約80%の取引は追加認証なし（フリクションレス）

旧バージョンの1.0ではカート離脱率が20%上昇する問題がありましたが、2.0では5%程度に改善されています。

リスク評価の仕組み

3Dセキュア2.0は、30以上の要素から取引リスクを瞬時に評価します：

デバイス情報：ブラウザ情報、IPアドレス、画面解像度、タイムゾーン
取引情報：金額、商品カテゴリ、配送先住所
行動分析：購入頻度、過去の取引履歴、カート滞在時間
異常検知：新規配送先、高額取引、深夜の購入

これらを総合的に判断し、低リスクと判定された取引は追加認証なしで完了。高リスクの場合のみ、SMS認証やアプリ認証を要求します。

不正注文検知システム

リアルタイム検知の実装

機械学習とルールベースを組み合わせたハイブリッド型検知システムが主流です。

機械学習モデルによる検知

不正注文検知では、以下の特徴量が重要です：

注文関連の特徴

注文金額（異常に高額または低額）
商品点数（転売目的の大量購入）
高リスク商品（ゲーム機、ブランド品、金券類）

顧客関連の特徴

新規顧客フラグ（初回から高額注文は要注意）
アカウント作成からの経過日数
過去の注文回数とチャージバック履歴
メールアドレスのドメイン（フリーメールは注意）

配送関連の特徴

請求先と配送先の一致（不一致は高リスク）
配送先の国（高リスク国への配送）
速達便の選択（急いでいる理由の確認）
私書箱や転送サービスの利用

デバイス・行動分析

プロキシ/VPN経由のアクセス
デバイスフィンガープリントの重複
購入までの滞在時間（短すぎ/長すぎは注意）
決済失敗の繰り返し

ルールベース検知

機械学習では検知しにくい明確なパターンをルールで補完：

高額新規注文ルール: 新規顧客による5万円以上の注文は必ず手動確認。特に深夜や早朝の注文は要注意。
ベロシティチェック: 同一カードで3つ以上のアカウント作成、同一デバイスで5枚以上のカード使用は即座にブロック。
配送先異常ルール: 請求先と配送先の国が異なり、速達便を選択、かつ3万円以上の注文は追加認証必須。
カード情報の異常: BINナンバー（カード番号の先頭6桁）と発行国の不一致、テストカード番号の使用をチェック。

不正対策の効果測定

継続的な改善のため、以下のKPIを設定し監視します：

KPI	目標値	測定方法	改善アクション
不正注文率	<0.1%	不正注文数÷全注文数	検知モデルの再学習
チャージバック率	<0.5%	CB件数÷決済件数	3Dセキュア適用拡大
誤検知率	<2%	誤判定÷手動確認数	ルールの細分化
手動レビュー率	<5%	手動確認÷全注文数	自動化の推進
検知処理時間	<100ms	平均レスポンス時間	キャッシュ最適化

インシデント対応

情報漏洩時の対応

個人情報漏洩が発生した場合、初動の72時間が勝負です。

72時間以内の対応フロー

0-6時間：緊急対応フェーズ

被害システムの即座の遮断（これ以上の流出を防ぐ）
証拠保全（ログ、設定ファイル、メモリダンプ）
対策本部設置（経営層、法務、広報、技術部門）
フォレンジック調査の開始

6-24時間：詳細調査フェーズ

影響範囲の特定（流出件数、情報の種類）
流出した具体的な情報内容の確認
侵入経路と原因の究明
暫定対策の実施（脆弱性の修正）

24-48時間：通知準備フェーズ

個人情報保護委員会への報告書作成
顧客通知文の作成（お詫び、経緯、対応策）
コールセンター体制の構築（想定Q&A作成）
Webサイト告知ページの準備

48-72時間：公表・通知フェーズ

個人情報保護委員会への正式報告
該当顧客へのメール・書面通知
プレスリリースの発表
問い合わせ対応の開始

顧客補償スキーム

信頼回復のため、以下の補償を標準とします：

クレジットカード再発行費用：全額負担（約1,000円/枚）
不正利用被害：全額補償（カード会社と協議）
お詫び：500-1,000円相当のポイントまたはクーポン
クレジット監視サービス：1年間無料提供（希望者のみ）

補償総額は1人あたり5,000-10,000円を見込む必要があります。

よくある質問（FAQ）

Q: 小規模ECサイトでもPCI DSS準拠は必要ですか？: A: カード情報を扱う限り、規模に関わらず必要です。ただし、取引量により対応レベルが異なります。年間取引が2万件以下の小規模事業者なら、自己問診（SAQ）で対応可能です。最も簡単なのは、カード情報を自社で一切扱わない「完全リダイレクト型」（SAQ A）の決済を採用することです。Stripe、PayPal、GMOペイメントゲートウェイなどの決済代行を使えば、PCI DSS要件は22項目のみとなり、対応コストも50万円程度に抑えられます。
Q: Webスキミング攻撃を見つける方法を教えてください。: A: 定期的な監視と検証が重要です。具体的には、(1)決済ページのJavaScriptコードを毎日保存し、差分をチェック、(2)Content Security Policy（CSP）を設定し、許可していない外部スクリプトの実行を検知、(3)Subresource Integrity（SRI）でサードパーティスクリプトの改ざんを検知、(4)WAFログで通常と異なる外部通信パターンを監視。また、複数の顧客から「カード不正利用があった」という報告が来た場合は、即座に全システムの調査を開始してください。
Q: 3Dセキュア2.0でカート離脱が増えないか心配です。: A: 2.0では離脱率への影響は限定的です。リスクベース認証により、全取引の70-80%は追加認証なし（フリクションレス）で完了します。旧バージョンの1.0では約20%の離脱率上昇がありましたが、2.0では5%程度に改善されています。さらに、チャージバック率が60-70%削減され、不正利用時の責任がカード会社に移るため、総合的にはメリットの方が大きいです。導入後3か月で投資回収できるケースがほとんどです。
Q: 不正注文をどうやって見分ければよいですか？: A: 以下の危険信号に注意してください：(1)新規顧客での5万円以上の高額注文、(2)配送先と請求先の住所が大きく離れている、(3)フリーメールアドレスでの登録、(4)深夜や早朝の注文、(5)プロキシやVPN経由のアクセス、(6)同じ商品の大量購入（転売目的）、(7)決済エラーが複数回発生後の成功。これらが2つ以上該当する場合は、必ず電話確認などの追加認証を実施してください。
Q: 個人情報が漏洩した場合の賠償額はどれくらいですか？: A: 過去の事例では、1人あたり500円から3万円の幅があります。基本的な補償（お詫び金500-1,000円、カード再発行費用、クレジット監視サービス）で5,000円程度、慰謝料請求された場合は1-3万円が相場です。1万件漏洩なら5,000万円から3億円の補償費用を想定する必要があります。さらに、信用失墜による顧客離れ、株価下落などの間接的損害も甚大です。サイバー保険への加入を強く推奨します。
Q: WAFがあればSQLインジェクションは防げますか？: A: WAFは有効ですが完全ではありません。[SQLインジェクション](/security/web-api/sql-injection/)の基本的なパターンは検知できますが、エンコードやObfuscationされた攻撃、時間ベースのブラインド攻撃などは通過する可能性があります。根本的な対策は、(1)プリペアドステートメントの使用、(2)入力値の厳格な検証、(3)最小権限でのデータベース接続です。WAFは多層防御の一層として重要ですが、セキュアコーディングが最も重要です。
Q: GDPR違反のリスクはどの程度深刻ですか？: A: 極めて深刻です。制裁金は年間売上の4%または2000万ユーロのいずれか高い方。日本企業でもEU居住者のデータを扱えば対象となります。楽天は2020年にフランス当局から制裁金を科されました。最低限、(1)Cookie同意バナーの実装、(2)プライバシーポリシーの英語版作成、(3)データ削除要求への対応機能は必須です。対応コストは100-300万円程度ですが、違反時の制裁金を考えれば必要投資です。

まとめ：ECサイト防御の要点

ECサイトのセキュリティは、売上に直結するビジネスの生命線です。

成功する防御戦略の5つの柱：

多層防御による情報保護：WAF、暗号化、アクセス制御の組み合わせ
PCI DSS準拠の徹底：最低でもSAQ Aレベルの達成
リアルタイム不正検知：機械学習とルールベースのハイブリッド
インシデント対応準備：72時間以内の対応計画と訓練
継続的な改善：KPI測定と月次レビュー

不正アクセスやデータ漏洩のリスクは日々高まっていますが、適切な対策により確実に防御できます。

顧客の信頼は一瞬で失われ、回復には長い年月がかかります。今すぐ対策を始めましょう。

【重要なお知らせ】

本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません
PCI DSS準拠には認定審査機関による評価が必要な場合があります
法規制は頻繁に改正されるため、最新情報の確認が必要です
記載内容は2025年11月時点の情報です

更新履歴

2025年11月03日: 初稿公開