2023年、eコマースを狙うサイバー脅威はこれだ ImpervaのCTOが予測
Impervaは記者説明会を開催し、eコマースを標的にしたサイバー攻撃の最新トレンドや2023年の脅威予測などを発表した。同説明会から、eコマース事業者が今すぐ対処すべき3つのセキュリティポイントが明らかになった。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Impervaは2022年11月18日、小売業界におけるセキュリティトレンドを解説する記者説明会を開催した。eコマースにおけるセキュリティ脅威の現状と日本企業が講じるべき防御手法、2023年度のeコマース市場で流行する可能性があるセキュリティ脅威予測について発表した。
モバイルアプリなどが利用する「API」を保護せよ
記者説明会ではImpervaのCTO(最高技術責任者)であるクナール・アナンド氏が登壇し、サイバーセキュリティの観点から今の小売業界でどのような課題が生じているかを説明した。
Impervaのクナール・アナンド氏クナール氏によれば、eコマースではbotによる自動化されたサイバー攻撃が流行している。インターネットにおけるトラフィックのうち、約41%がbot関連のトラフィックと考えられており、そのうち約60%、つまりトラフィック全体の約25%が悪意あるbotだという。これに加えて脅迫目的のDDoSトラフィックも増大している。「巧妙なサイバー攻撃が増加しており、オンプレミスやクラウドでもセキュリティ対策が求められています」(アナンド氏)
その中でも特にセキュリティ対策を講じる必要があるのが「API」だとアナンド氏は指摘する。多くのeコマース事業者はモバイルアプリを提供しており、そのアプリがシステムと通信する際には複数のAPIが利用されている。しかしこのとき、どこに、どれだけのAPIが用意されており、そこでどのようなデータが通り、どのように守られているかなどをしっかりと把握できていないケースも多い。
アナンド氏はこれを踏まえて、企業が抱えるAPI保護の課題として「eコマース企業の知識不足」「APIのリスクの質が他と異なること」「シャドーAPIの存在」の3つを挙げた。
「eコマース事業者はモバイルアプリのAPIがサイバー攻撃者に見つかりにくいと考えているかもしれないが、そんなことはない。APIは(何も対策しなければ)パブリックだ。セキュリティ団体のOWASP(Open Web Application Security Project)はアプリ保護とは別に、APIセキュリティに関するドキュメントとして『OWASP API Security Top 10』を公開している。つまりアプリのセキュリティ対策とは別で、APIについても対策を講じる必要があるということだ。また、APIがどこにあるか把握しきれていないことも多く、“シャドーAPI”化していることも課題だ。これらのことから、サイバー攻撃者にとってAPIは絶好の標的と言える」(アナンド氏)
eコマース事業者はデータプロテクションについても課題を抱えている
アナンド氏は続けて、eコマースが直面するデータプロテクションの課題についても解説した。Impervaはデータプロテクションについて、セキュリティとリスクマネジメント、コンプライアンス、プライバシーの4つの領域に分類している。
eコマース事業者の多くは、これまでのSQLデータベースだけでなくデータレイクやデータウェアハウスをはじめとするさまざまなタイプのデータベースを活用し始めている。しかしここでも“全てのデータを把握しきれていない”という、APIと同様の問題が発生しており、漏えいリスクが高まっている。
加えて日本企業では、データプライバシーの課題として個人情報保護法の順守が求められる。特にeコマース事業者は機微な個人情報を集めることになるため、監査へのプレッシャーが高まり、多くの企業がデータ保護への関心を持っている。
Impervaはこうした事業者に向け、API保護やデータプロテクションへの取り組みとして、ネットワークにおけるセキュリティ対策だけでなくデータを主眼としたセキュリティ対策を提供している。日本市場においても「Imperva Data Security Fabric」を提供し、これがeコマース事業者にマッチすることをアピールした。
2023年の脅威予測 「ホリデーセール」が狙われる
アナンド氏は最後に、2022年から2023年にかけて日本でも発生する可能性があるeコマースの脅威予測を発表した。まず予想されるのは、年末にかけての「ホリデーセール」に対し、買い占めのショッピングbotが急激に増加するだろうということだ。サイバー攻撃者はアカウントを乗っ取り、他人になりすまして買い物する。eコマース事業者にとしては、在庫を全て買い尽くされて商品を転売されるリスクがある。
「既に予兆は確認されており、数週間以内に問題になるのではないかと考えている。eコマース企業は継続した監視が必要だ。そして顧客や消費者は自らのセキュリティに注意を払ってほしい」(アナンド氏)
また、同氏は100万件を超える膨大な量のデータ漏えいにも警鐘を鳴らす。特に気を付けたいのは、APIやソフトウェアサプライチェーンの弱点をついたデータ漏えいだ。
「APIは幅広く利用されている。APIはデータのすぐ上に存在するもので、APIを攻撃することでeコマースが持つ大量のデータにアクセスできてしまう。既に数千万単位でAPIを介した漏えいが観測されている。個々のアプリに対するセキュリティ対策も重要だが、API保護も極めて重要だ。企業はそこにも注力してほしい」(アナンド氏)
関連記事
Impervaのセキュリティには隙がない? 日本企業が抱えるセキュリティ課題とその解決方法を聞いた
企業のDXが進むのと同様に、サイバー攻撃もその巧妙さを増している。また、セキュリティ対策への危機感と実際の対策内容では大きな乖離(かいり)があるようだ。日本企業が持つ課題とその改善方法が分かった。
脅威ハンティングのプロが語る、6つの“残念な”セキュリティ事例
2022年10月27〜28日にCODE BLUE 2022が開催された。本稿は、IBM X-Forceのニール・ワイラー氏による基調講演の様子をレポートする。同氏の講演からは6つの残念なセキュリティ事例と推奨される7つの対策が明らかになった。
気付かないうちに電話番号を盗まれる「SIMスワップ」が日本で本格化? 対策を考える【訂正あり】
欧米で流行していた「SIMスワップ」というサイバー攻撃手法が日本でも流行の兆しをみせています。そもそもSIMスワップとは何か。なぜこのサイバー攻撃に注意すべきなのかを筆者が解説します。
誰かが「安全」といえば信じるの? “分かりやすい”セキュリティ対策の落とし穴
セキュリティ脅威が活発化する今、偽のWebサイトやフィッシングメールを見破る方法などがSNSで拡散されるケースがあります。確かにこうした一目で判断できる基準があればいいのですが、現実はそう簡単にはいきません。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
ITmediaはアイティメディア株式会社の登録商標です。