小売業が対策すべきセキュリティリスクとは？情報漏洩の脅威と対策事例

小売業はオンラインストアやPOS端末、クレジットカード情報など機器を用いる機会が多いです。そのため情報漏洩が特に多い業界です。企業の信頼や競争力維持のためにも、セキュリティ対策をすることは重要です。本記事は、小売業界の方向けに実際におきた情報漏洩の事例から学ぶ対策方法について解説いたします。

小売業は、情報漏洩の被害が特に多い業界

小売業は情報漏洩の被害が特に多い業界であることが、Webセキュリティサービスを開発・提供するサイバーセキュリティクラウドの調査により明らかになっています。同社が2021年10月29日に公表した調査レポートによると、2020年10月から1年間で不正アクセスの被害規模が1,000～10,000件の個人情報漏洩事案のうち、23.1%が小売業であることが判明しました。この割合は、サービス・インフラ業と並んでもっとも多い結果でした。また、同社が2020年に公表した調査でも、小売業が24.0%で1位だったことから、小売業界は情報漏洩の被害が近年多い業界だと言えるでしょう。

▼参照
・〜不正アクセスの被害事案が最も多かった業界は「サービス・インフラ」、「小売」〜 不正アクセスによる個人情報漏洩事案に関する調査レポート【2021年版】を発表 | 株式会社サイバーセキュリティクラウド
・サイバーセキュリティクラウド、2019年10月〜2020年9月間の不正アクセスによる 個人情報漏洩事案に関する調査レポートを発表 〜漏洩事案、漏洩件数ともに小売業界が最多〜 | 株式会社サイバーセキュリティクラウド

小売業の情報漏洩事件5選

近年、小売業で発生した5つの情報漏洩事件について紹介しましょう。

【1】セブンネットショッピング

セブンネットショッピング（現：セブン&アイ・ネットメディア）は、最大で15万165件の個人情報が不正に閲覧された可能性があることを2013年10月23日に発表しました。同社が運営するEC（Electronic Commerce）サイト「セブンネットショッピング」に不正なアクセスがあり、同社の会員サービスにクレジットカードを登録している顧客の個人情報が閲覧された可能性があると公表されています。個人情報には、顧客の氏名、住所、電話番号、クレジットカード番号、有効期限が含まれています。

セブンネットショッピングは情報セキュリティ専門会社とともに不正アクセスの原因を調査した結果、第三者が外部のインターネットサービスからIDとパスワードを不正に取得し、顧客に成りすまして個人情報が閲覧された可能性があると結論付けました。同社によると、自社内でIDやパスワードが流出した事実はないと述べています。

▼参照
・セブンネットショッピングから15万件の個人情報が不正アクセスで流出か カード情報も | Web担当者Forum

【2】ユニクロ

ユニクロは、運営するオンラインストアで46万1,091件のアカウントに不正ログインがあったことを2019年5月14日に公表しました。同社を運営するファーストリテイリングは、氏名、住所、電話番号、メールアドレス、生年月日、購入履歴、クレジットカード番号の一部が閲覧された可能性があると発表しています。

ユニクロは不正ログインが発生した理由を「リスト型アカウントハッキング攻撃（リスト型攻撃）」だったと公表しています。リスト型攻撃とは、第三者が何らかの方法でIDやパスワードを取得し、こうしたIDやパスワードのリストを使ってさまざまなサイトにログインを試みるものです。 ユニクロは不正ログイン対策として、他社のサービスと異なるパスワードを設定することや、第三者が簡単に推測しやすいパスワードを使用しないことを顧客に対して呼び掛けています。

▼参照
・「リスト型アカウントハッキング（リスト型攻撃）」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて - UNIQLO ユニクロ
・リスト型アカウントハッキングによる 不正ログインへの対応方策について

【3】ライトオン

ジーンズセレクトショップのライトオンは、運営する公式オンラインショップに不正アクセスがあり、24万7,600件の個人情報が流出したと2021年11月4日に発表しました。同社は、氏名、電話番号、住所、生年月日、性別、メールアドレスが流出したものの、クレジットカード情報は流出しなかったと公表しています。

ライトオンは不正アクセスの原因を調査した結果、オンラインショップの脆弱性を悪用し、第三者が不正アクセスしたと述べています。同社は、流出した個人情報を不正利用した二次被害は確認できなかったものの、不正アクセスに対するセキュリティ強化の対策を徹底することで再発防止に努めたいと伝えています。

▼参照
・ 弊社公式オンラインショップへの不正アクセスによる個人情報流出に関するお詫びとご報告 | ニュース一覧 | Right-on Co., Ltd.
・ライトオンの不正アクセスによる個人情報流出に関するお詫びとお知らせ | iMarket（適時開示ネット）

【4】イトーヨーカ堂

イトーヨーカ堂は、上大岡店で自転車を購入した1,056人分の個人情報が紛失したことを2022年9月21日に公表しました。イトーヨーカ堂は、個人情報を紛失した理由として、個人情報を記載した書類を誤って破棄した可能性を指摘しています。紛失した書類は自転車防犯登録カードや自転車お客様カード申込書であり、これらの書類は2017年3月に閉店した上大岡店から横浜別所店に引き継がれました。

イトーヨーカ堂は、紛失した個人情報が悪用されたと確認されていないものの、全従業員に対し個人情報を含む文書の保管や破棄方法について厳正に取り扱うことを指導・徹底するなど、再犯防止に努めると述べています。

▼参照
・イトーヨーカ堂、個人情報1056人分紛失　氏名や電話番号: 日本経済新聞
・お客様の個人情報紛失について | 株式会社イトーヨーカ堂

【5】POSシステムを利用する企業の情報漏洩事件

情報漏洩事件はWebサイトへの不正アクセスだけではありません。POS（Point of Sale）加盟店である米国・の世界的ホテルグループを運営するハイアットは、決済処理システムでマルウェアの感染を確認したと2016年1月14日に発表しました。同社の経営するホテル・627軒のうち250軒のシステムがマルウェアに感染し、個人情報にはクレジットカード番号や会員名、有効期限が含まれると公表しています。同社は、施設内のレストランやスパ、ショップなどでカード情報が不正利用される可能性があるとし、54ヶ国250拠点で被害が確認されたことも明らかにしています。

POSシステムとは、POSレジやPOS端末などのハードウェアやアプリケーション等を含めたシステムを指します。POSシステムを採用するPOS加盟店であれば、ハイアットだけでなく小売業でも同様の情報漏洩が起こりうると言えます。

▼参照
・国内のPOS加盟店からカード情報流出事件が発生 -POSシステムを狙う新手のサイバー攻撃- | PCI DSS Ready Cloud blog
・Hyatt names hotels hit by payment information malware - BBC News

小売業界特有の個人情報、情報漏洩対策

POS端末から、クレジットカードの情報が盗まれる事例も

小売業界では、顧客のクレジットカード情報など、特に機密性の高い情報を取り扱うことが多く、POS端末からの情報漏洩リスクは深刻です。

POSシステムは、従来、クローズドなシステムであるがゆえに安全と考えられてきましたが、近年ではインターネット接続が一般的となり、外部からの攻撃リスクも高まっています。そのため、POSシステムだから安全だという過信は禁物です。

実際には、組込みシステムがマルウェアに感染し、クレジットカード情報が盗まれる事件が国内外で発覚しています。 情報漏洩の原因として、取引先の企業などのPCからIDやパスワード等を盗み、標的となるサーバーに侵入することが挙げられます。

また、USBメモリを端末に接続したり、無線LANからPOSシステムに侵入したりするケースが考えられます。このほか、攻撃対象の企業の社員に対して不正プログラムを含んだメールを送信し、社員が利用している端末にマルウェアを感染させるケースもあります。マルウェアに感染した端末へは遠隔操作が可能となり、インターネットを介して情報が漏洩する可能性があります。

▼参照
・どう守る！？小売企業の顧客データとビジネス―進化するサイバー攻撃、狙われるPOS、続発する情報漏えい (1/2)|EnterpriseZine（エンタープライズジン）
・POSレジやオーダーシステムなら｜POSレジのセキュリティ対策｜ネットシステム

小売業界特有の情報漏洩対策

POSシステムはクローズドなシステムであるため安全だと過信した結果、セキュリティ対策がおざなりになってしまう可能性があります。POSシステムからクレジットカード情報が盗まれるリスクだけでなく、社内サーバーの顧客情報も漏洩のリスクにさらされます。

POSシステム固有の情報漏洩対策として、POSシステムのネットワークをほかのネットワークから分離し、インターネットや電子メールの利用など不必要な作業を行わないことが挙げられます。マルウェアが感染する経路をできるだけ遮断することが、情報漏洩を防ぐリスクを下げることにつながります。

また、POSシステムは古い組み込みOSを使用していることが多いため、ネットワークに接続された端末で不審な動きがあるかどうかをリアルタイムで検知できるセキュリティ対策が必要です。不正アクセスを行なおうとする第三者は端末を標的に、システムへの侵入を測ろうとします。そのため、端末でのセキュリティを高めるよう、ウイルス対策ソフトで既存のマルウェアを検知・予防するほか、マルウェアによる不審な挙動を察知・対応することが必要です。

▼参照
・いまさら聞けない！「EndpointSecurity（エンドポイントセキュリティ）」 | Tech & Device TV
・FortiEDR が実現する POS システムにおけるリアルタイムの確実なエンドポイントセキュリティ

まとめ

小売業界における情報漏洩は、顧客の信頼を失墜させ、企業の存続さえも脅かす深刻な問題です。POSシステムのセキュリティ強化はもちろんのこと、従業員へのセキュリティ意識向上研修の実施、外部専門機関との連携など、多角的な対策を講じる必要があります。

情報漏洩は「起こる前に防ぐ」という意識を持ち、常に最新のセキュリティ対策を講じることが、お客様との信頼関係を守り、企業の持続的な成長へと繋がるのです。

▼参照
・サイバーセキュリティ経営ガイドラインの改訂ポイント | 経済産業省
・「情報セキュリティ体制」をたずねられたら | 日本ネットワークセキュリティ協会

▼関連記事
個人情報漏洩はなぜ起こるのか？事例と対策を徹底解説
製造業界の情報漏洩事件まとめ

低コストでセキュリティ対策を始めるなら

• 「セキュリティ対策が求められているが、予算が限られている」
• 「ひとり情シス状態で、管理負担が大きい」

こうしたお悩みを抱える中小企業の方は多くいらっしゃいます。

予算やリソースが限られている企業では、市販のパッケージソフトが高額で、オーバースペックになりがちです。

弊社の「Watchy」は、PC端末の台数や必要な機能に応じて契約内容を調整できるため、コストを抑えながら最適なセキュリティ対策を実現します。

ITの専門知識がなくても簡単に操作できるシンプルな管理画面を備えており、運用負担が少ない点もWatchyの特徴です。

まずは無料で資料をダウンロードしてお確かめください。

Watchy：https://watchy.biz/
運営会社：株式会社スタメン（東証グロース市場4019）