eコマース取引は、サイバー犯罪者にとって格好の標的である。小売Webサイトが標的とされるうえに、不正購入や偽の返品は直接的な金銭的損失をもたらすだけでなく、販売者と顧客の双方に新たなコストと負担を生じさせる。
クラウド配信型セキュリティ サービスの大手グローバル プロバイダーのデータによると、消費者の75%が、サイバーセキュリティ上の問題が発生した場合、そのブランドの利用をすぐにやめると回答している。また、ほぼ同数(66%)の消費者が、自分のデータに影響を与えるデータ侵害に見舞われた企業は信頼できなくなると回答している。
おそらくオンライン販売業者にとってさらに脅威となるのは、消費者の44%がサイバー事件の原因を企業のセキュリティ対策不足と考えていることだ。顧客ロイヤリティと顧客維持が危ぶまれ、eコマース企業は二重の危険にさらされている。
たった一度のサイバー事件で、小売業者の評判は大きく損なわれ、顧客を失うことになりかねない。そのため、小売企業にとって、eコマース、モバイルアプリ、店舗でのショッピング体験を完全に保護することが、これまで以上に重要になっている。
デジタル決済とデータ・セキュリティ企業BluefinのCISO(情報セキュリティ最高責任者)であるBrent Johnson氏によれば、攻撃に関していえば、サイバー窃盗団はその活動を本格的なビジネスの状態にまで押し上げているという。サイバー攻撃から得たデータがさらなる攻撃の糧となり、ブラックマーケット活動は急成長している。
ハッカーは多くのWebサイトからデータを入手してブラックマーケットで販売し、ここ数年で発展したこの活動で数百万ドルを稼いでいる。
「私たちは、幅広い商業的ターゲットに対して、非常に巧妙な攻撃を目にしている。3万近いWebサイトが攻撃されている」とJohnson氏は語る。
サイバー攻撃は今や広範囲に及んでいるため、ペイメントカード業界のPCIセキュリティ基準審議会(国際ペイメントブランド5社が共同で設立・運営する組織)は、安全基準の最新改訂版でeコマース向けの管理策を追加した、と同氏は指摘する。
消費者の無謀さが問題悪化の一因
セキュリティ専門メディアHelp Net Securityのレポートによると、企業は80万件のサイバー攻撃に見舞われている。そのうち6万件以上が分散型サービス拒否 (DDoS)攻撃(偽のトラフィックを氾濫させることで、オンラインサービスを中断させるサイバー攻撃)で4,000件がランサムウェア攻撃である。
これらの調査結果は、オンラインショッピングをする人々がサイバー攻撃を回避する方法について認識が不足していることによってさらに悪化している。研究者によると、この理解不足が消費者の無謀な買い物行動を助長しているという。
この報告書では、2つの重要な例が挙げられている。回答者の半数以上(55%)が、オンラインショッピングに会社のデバイスを使用していることを認めており、これはビジネスインフラにリスクをもたらしている。一方で、偽のeコマース・プラットフォームでは、サイバー犯罪者が大手のeコマース・ブランドになりすますことが難しいと考えている回答者は、35%と少数だった。
決済業界の基準は地域によって異なる
国境を越えたeコマースがインターネットにあふれかえる中、ペイメントカードのプロセスには統一された保護基準が欠如していることが多い。こうした基準のばらつきは、欧州の消費者に比べて米国の消費者を巻き込む可能性のある詐欺の事例が増える原因となっている。
Johnson氏は「欧州がサイバーセキュリティで米国より進んでいるとは言いたくない。ICチップとPINの技術やEMV(Europay、Mastercard、Visaが共同で策定したICチップ搭載クレジットカードの統一規格)の基準、その他すべてに関して、欧州は決済セキュリティで進んでいるといえるだろう」と明言した。
欧州の加盟店は、購入時に身分証明と口座所有者の証明を要求しており、そのプロセスはより安全なものとなっている。カード決済の基準がより厳格になったことで、窃盗犯がカードを提示しない販売や偽のクレジットカードを使って詐欺的な買い物をすることが難しくなった。
米国では、こうしたシステムはオンライン取引にはまだ完全には存在していない。ひとたびカード番号を知られれば、そのまま取引ができてしまうのだ。
それに比べ、欧州ではカード決済の標準化によって詐欺事件が減少している。彼らは基準に対してより厳しい、と同氏は述べた。
サイバー犯罪者はAIを駆使して、より効果的な攻撃を仕掛け、eコマースの不正取引を増やしている。一方、サイバーセキュリティの専門家たちは、AIを搭載した防御ツールを駆使して、フィッシング詐欺を検知したり、流入するWebトラフィックを精査したりして、ネットワーク侵入の隙を狙っている。
サイバー攻撃者と防御者のツールとしてのAI
しかし、Johnson氏は、AIの成功がサイバー防御を強化するにはまだ時間がかかると考えている。AIはますます普及しつつある。同氏は、特に防御面で多くのツールを見ており、AIが実質的な防御の役割を果たしていることを知っている。
「すでにいくつかは使用されている。しかし、今後もAIは増え続けるだろう。現時点ではこれ以上は言えない。正直に言うと、それは爆発的に増えている」と、近い将来AIが実現するかもしれない可能性について示唆した。
すでに始まっているカード決済の保護
Johnson氏によると、デジタル・トランザクションをより安全に保護するために、2つの先進的なテクノロジーが活躍しているという。ポイント・ツー・ポイント暗号化(P2PE)とトークン化技術は、すでに不正業者に対する優れたソリューションを提供している。
P2PEは、買い物客がチェックアウト時に決済カードを挿入すると作動する。認定されたハードウェアとソフトウェアにより、加盟店や従業員がカードデータにアクセスするのをブロックする。
「P2PEは、コンプライアンスに関しては非常に簡素化されており、センシティブなカード会員データがその環境に存在しないだけで、はるかに安全だ」と同氏は説明する。
トークン化は、支払情報のデジタル化された表現を作成するものである。トークンは、決済取引のIDを難読化することで、機密データを保護する。
AIを搭載したアプリケーションと組み合わせることで、トークン化は大規模言語モデル(LLM)とディープラーニング技術を使用し、元の情報に代わる一時的なコードを生成することで機密データを保護する。
「私たちのデータがどこにあろうとも、カードオンファイルタイプ(企業が利用者のクレジットカード情報を自社の決済システムに保存しておくこと)のトランザクションのために、私たちはeコマース側で多くのトークン化を行う。加盟店の環境にハードデータがない場合、トークンを返すことができる」とJohnson氏は説明する。
続くサイバー戦争
サイバーセキュリティ全般に関するJohnson氏の見解からすると、”モグラたたきマラソン”なのか引き分けなのか、どちらが勝っているのか、という疑問については、同氏は少し慎重な姿勢を見せた。
「我々が勝っているように感じることもある。しかし、多くの場合は負けているように感じる。だから苦闘しているのだ」と同氏。
同氏は、ゼロデイ攻撃(発見された脆弱性を解消するための対策が提供される前に行われるサイバー攻撃)やサプライチェーン攻撃は、あらゆるデータ統合により、現在ではより深刻になっていると指摘した。
「頼りにしているツール、アプリケーション、サービスが侵害されれば、何千もの企業が影響を受けることになる」。これが、Johnson氏が最近サイバーセキュリティに関して抱いている大きな懸念事項の一つである。
「その質問に答えるならば、確かにモグラ叩きのような状況である。しかし、今後も私たちは大丈夫だ」と同氏は結論付けた。
※当記事は米国メディア「E-Commerce Times」の9/17公開の記事を翻訳・補足したものです。
