ケース別で紹介!
セキュリティ対策完全マニュアル
【全34ケース】
様々な脅威からサイトを守る
セキュリテイ対策機能を紹介!
ケース別で紹介!
不正アクセス・不正利用は身近な事象で、毎年多くの企業が被害にあっています。
被害を受けた場合は、データの改ざんや情報漏えいが発生し、ユーザーからの信用を失う可能性があります。
本特集では、ユーザーウェブに特化したケース別のセキュリティ対策をご紹介します。
サイトやユーザーを守るためのセキュリティ対策に、ぜひお役立てください!
1.ケース別対応方法
アタック種別
1.大量アクセス
2.不正カード登録・利用
3.不正注文
4.不正会員登録
5.不正ログイン
6.不正なパスワードの変更
7.不正なお問い合わせ
8.不正なメルマガ会員登録
9.不正な入荷お知らせ登録
1.大量アクセス
| ケース | 対応する機能 | 機能概要 |
|---|---|---|
| 国外IPアドレスによるアタックがあった場合 | 国外IPアクセス許可フラグ | 国外IPアドレスからアクセスがあった際の、 制限内容を以下から選択します。 ・アクセスを許可する ・登録処理のみ許可しない ・アクセスを許可しない |
| 不正アクセス元のIPアドレスが 特定できている場合 |
アクセス除外不正IPアドレス群 | 特定のIPアドレスによるアクセスを ブロックします。 |
| 不正アクセス元のユーザーエージェントが 特定できている場合 |
アクセス除外UserAgent群 | 特定のUserAgentからのアクセスを ブロックします。 |
| IPアドレスを変更し集中して アクセス(アタック)される場合 |
同一IPからの分間PV制限数 | 一定時間内にしきい値を超える 対象IPアドレスのアクセスがあった場合に サイトへのアクセスを制限します。 |
| 同一IPアドレスから集中してアクセス(アタック)がある場合 |
2.不正カード登録・利用
| ケース | 対応する機能 | 機能概要 |
|---|---|---|
| 機械的に大量のクレジットカード登録が 行われた場合 |
reCAPTCHA機能 (カード登録) |
クレジットカード情報登録ページで、 登録者がロボットでないことの判定ができます。 |
| データ大量登録の検知と制限を可能とする機能 | 同一会員、もしくは同一IPアドレスから、 一定時間内にしきい値を超える カード登録処理が実行された場合に、 店舗管理者に対して検知メールを配信し、 該当ユーザーのアクセスを制限します。 |
|
| 機械的もしくは人為的にクレジットカードを 大量登録しているユーザーがいる場合 |
不正カード入力検知機能 | 不正なカード入力とする条件を登録し、 条件に該当する操作を検知した際に、 検知メールを送信します。 また、不正なカード入力を検知した際に、 自動でクレジットカードの登録停止や、 サイト停止等の制限もできます。 |
| ASUKA連携 |
株式会社アクル様が提供する 不正検知・認証システムの「ASUKA」です。 クレジットカード情報登録時に、 独自のデータを基に不正な取引かチェックします。 チャージバック、クレジットカードマスターの 対策に有効です。 |
|
| カード会社や決済代行会社から、 不審なカード登録に関するメールを 受け取った場合 例)【GMO-PG】大量トランザクション検知の ご連絡 |
不正カード入力検知機能 | 不正なカード入力とする条件を登録し、 条件に該当する操作を検知した際に、 検知メールを送信します。 また、不正なカード入力を検知した際に、 自動でクレジットカードの登録停止や、 サイト停止等の制限もできます。 |
| O-PLUX・不正チェッカー連携 | かっこ株式会社様が提供する リアルタイム不正注文検知サービスです。 不正な決済処理よるチャージバック対策や、 後払い決済での代金未回収対策など、 不正利用対策ができます。 |
|
| ASUKA連携 |
株式会社アクル様が提供する 不正検知・認証システムの「ASUKA」です。 クレジットカード情報登録時に、 独自のデータを基に不正な取引かチェックします。 チャージバック、クレジットカードマスターの 対策に有効です。 |
|
| reCAPTCHA機能 (カード登録) |
クレジットカード情報登録ページで、 登録者がロボットでないことの判定ができます。 |
|
| reCAPTCHA機能 (注文情報入力) |
注文情報入力ページで、 注文者がロボットでないことの判定ができます。 |
|
| クレジットカード(SBPS)利用店舗にて、 不正なカード利用があった場合 |
不正検知サービス (SBペイメントサービス) |
SBペイメントサービス株式会社様の提供する、 決済情報と機械学習で不正利用を検知するサービス「AI不正検知」です。 クレジットカード決済を行うタイミングで、 不正利用のリスクをスコアとして算出します。 そのスコアと、「AI不正検知」の管理画面にて 設定したルールに則り、不正な取引か判定します。 |
3.不正注文
| ケース | 対応する機能 | 機能概要 |
|---|---|---|
| 機械的に大量注文された場合 | reCAPTCHA機能 (注文情報入力) |
注文情報入力ページで、 注文者がロボットでないことの判定ができます。 |
| 会員登録/受注メール 受け取り確認制御 |
非ログインでの注文時に、 メールアドレス確認ページで入力された メールアドレスへメールを配信し、 記載のある確認用URLへアクセス、 または、認証コードを入力した場合のみ、 手続きを継続するようにします。 |
|
| 機械的もしくは人為的な操作によって、 大量注文された場合 |
データ大量登録の検知と制限を可能とする機能 | 同一会員、もしくは同一IPアドレスから、 一定時間内にしきい値を超える 注文が実行された場合に、 店舗管理者に対して検知メールを配信し、 該当ユーザーのアクセスを制限します。 |
| 機械的に定期注文情報を変更された場合 | reCAPTCHA認証 (定期注文情報変更) |
定期注文情報変更ページにて、 登録者がロボットでないことの判定ができます。 |
| 不正注文と思われる受注の、 会員の情報や受注情報(備考等)に 特定の文字列が使用されていた場合 |
自動配信メール使用不可文字列チェックフラグ | 「自動配信メール使用不可文字列リスト」に 登録されている文字列が 本文に存在するかをチェックし、 存在する場合は自動配信を行いません。 |
| 不正注文と思われる受注の、 会員の情報や受注情報(備考等)に URLが使用されていた場合 |
自動配信メールURL チェックフラグ |
自動配信メールの本文内にURLが存在する場合、 自動配信を行いません。 |
| クレジットカードを利用した不正注文があった場合 | 不正カード入力検知機能 | 不正なカード入力とする条件を登録し、 条件に該当する操作を検知した際に、 検知メールを送信します。 また、不正なカード入力を検知した際に、 自動でクレジットカードの登録停止や、 サイト停止等の制限もできます。 |
| O-PLUX・不正チェッカー連携 | かっこ株式会社様が提供する リアルタイム不正注文検知サービスです。 不正な決済処理よるチャージバック対策や、 後払い決済での代金未回収対策など、 不正利用対策ができます。 |
|
| ASUKA連携 |
株式会社アクル様が提供する 不正検知・認証システムの「ASUKA」です。 クレジットカード利用時に、 独自のデータを基に不正な取引かチェックします。 チャージバック、クレジットカードマスターの 対策に有効です。 |
|
| クレジットカード(SBPS)利用店舗にて、 クレジットカードを利用した不正注文があった場合 |
不正検知サービス (SBペイメントサービス) |
SBペイメントサービス株式会社様の提供する、 決済情報と機械学習で不正利用を検知するサービス「AI不正検知」です。 クレジットカード決済を行うタイミングで、 不正利用のリスクをスコアとして算出します。 そのスコアと、「AI不正検知」の管理画面にて 設定したルールに則り、不正な取引か判定します。 |
| クレジットカード以外の決済方法で 不正注文があった場合 |
O-PLUX・不正チェッカー連携 | かっこ株式会社様が提供する リアルタイム不正注文検知サービスです。 不正な決済処理よるチャージバック対策や、 後払い決済での代金未回収対策など、 不正利用対策ができます。 |
4.不正会員登録
| ケース | 対応する機能 | 機能概要 |
|---|---|---|
| 機械的に大量の会員が登録された場合 | reCAPTCHA機能(会員登録) | 会員登録確認ページで、 登録者がロボットでないことの判定ができます。 |
| 会員登録/受注メール 受け取り確認制御 |
新規会員登録やメールアドレス変更時に、 メールアドレス確認ページで入力された メールアドレスへメールを配信し、 記載のある確認用URLへアクセス、 または、認証コードを入力した場合のみ、 手続きを継続するようにします。 |
|
| 同一IPアドレスから大量の会員が 登録された場合 |
データ大量登録の検知と制限を可能とする機能 | 同一IPアドレスから、 一定時間内にしきい値を超える 会員登録処理が行われた場合に、 店舗管理者に対して検知メールを配信し、 該当ユーザーのアクセスを制限します。 |
| 特定のメールドメインで 不正に会員登録されている場合 |
会員登録無効 メールドメイン設定 |
会員登録または会員情報更新時に、 会員のメールアドレスが 特定のメールドメインの場合、 登録・更新できないようにします。 |
| 登録情報に特定の文字列を含む会員が 登録されている場合 |
自動配信メール使用不可文字列チェックフラグ | 「自動配信メール使用不可文字列リスト」に 登録されている文字列が 本文に存在するかをチェックし、 存在する場合は自動配信を行いません。 |
| 登録情報にURLを含む会員が 登録されている場合 |
自動配信メールURL チェックフラグ |
自動配信メールの本文内にURLが存在する場合、 自動配信を行いません。 |
5.不正ログイン
| ケース | 対応する機能 | 機能概要 |
|---|---|---|
| 機械的もしくは人為的な操作によって、 大量にログイン処理が行われた場合 |
reCAPTCHA認証(ログイン) | ログインページにて、 ユーザーがロボットでないことの判定ができます。 |
| データ大量登録の検知と制限を可能とする機能 | 同一会員、もしくは同一IPアドレスから、 一定時間内にしきい値を超える ログイン処理(失敗)が実行された場合に、 店舗管理者に対して検知メールを配信し、 該当ユーザーのアクセスを制限します。 |
|
| 自動ログイン停止 | 不正ログインと判断する条件を登録し、 条件に該当するログインを検知した際に、 以下のいずれかの処理ができます。 ・店舗管理者に対して検知メールを配信 ・自動で全会員のログインを停止 ・サイトをメンテナンス中に変更 |
|
| 不正ログインの被害があった場合 | 2段階ログイン | ログインIDとパスワードによる認証と、 会員のメールアドレス宛に送信された 2段階ログイン認証コードの入力を必須とする 2段階認証でのログインを可能にします。 |
6.不正なパスワードの変更
| ケース | 対応する機能 | 機能概要 |
|---|---|---|
| 不正ログインが成功した後、 パスワードの変更が実施された場合 |
パスワード変更ページ 追加認証項目 |
パスワード変更ページにおいて、 本人確認のために、追加で入力を求める会員項目が選択できます。 |
| 別会員のメールアドレスを利用して、 パスワードリマインダー機能が利用された場合 |
パスワードリマインダーページ 追加認証項目 |
パスワードリマインダー機能を利用する際に、 パスワードリマインダーページにおいて、 メールアドレスにくわえて本人確認のために、 追加で入力を求める会員項目を選択できます。 |
7.不正なお問い合わせ
| ケース | 対応する機能 | 機能概要 |
|---|---|---|
| 機械的に大量のお問い合わせが 登録された場合 |
reCAPTCHA機能 (お問い合わせ入力) |
お問い合わせ内容入力ページにて、 登録者がロボットでないことの判定ができます。 |
| 機械的もしくは人為的な操作によって、 大量のお問い合わせが登録された場合 |
データ大量登録の検知と制限を可能とする機能 | 同一会員、もしくは同一IPアドレスから、 一定時間内にしきい値を超える お問い合わせが登録された場合に、 店舗管理者に対して検知メールを配信し、 該当ユーザーのアクセスを制限します。 |
| 不審なお問い合わせ内容に、 特定の文字列が使用されていた場合 |
自動配信メール使用不可文字列チェックフラグ | 「自動配信メール使用不可文字列リスト」に 登録されている文字列が 本文に存在するかをチェックし、 存在する場合は自動配信を行いません。 |
| 特定のメールドメインで 不正にお問合せが登録された場合 |
お問い合わせ無効 メールドメイン設定 |
不審なお問い合わせを投稿しているユーザーの メールアドレスが特定のドメインである場合、 投稿できないようにします。 |
| 不審なお問い合わせ内容に、 URLが登録されていた場合 |
自動配信メールURL チェックフラグ |
自動配信メールの本文内にURLが存在する場合、 自動配信を行いません。 |
8.不正なメルマガ会員登録
| ケース | 対応する機能 | 機能概要 |
|---|---|---|
| 架空のメールアドレスを用いて、 メルマガ会員が登録された場合 |
メルマガ会員登録 ダブルオプトイン設定 |
メルマガ購読を登録する際、入力したメールアドレスへメールを配信し、受信者本人にメルマガ配信の同意を得てメルマガ会員登録をします。 |
| 第三者が別のユーザーのメールアドレスを利用し、 メルマガ会員に登録した場合 |
9.不正な入荷お知らせ登録
| ケース | 対応する機能 | 機能概要 |
|---|---|---|
| 機械的に大量の入荷お知らせを 登録された場合 |
reCAPTCHA機能 (入荷お知らせ登録) |
入荷お知らせ登録ページにて、 登録者がロボットでないことの判定ができます。 |
2.機械的な操作か判断する基準
登録情報の確認
下記に当てはまるものは、機械的な操作の可能性が高いです。
・登録情報に、読解不能な文字列を使用した情報やURLが登録されている場合
・同じ内容の登録情報が複数ある場合
・同じユーザー、またはIPアドレスを用いて大量に受注や会員などを登録されている場合
同じIPアドレスを用いて購入していることを確認する場合は、受注情報の「注文時のIPアドレス」をご確認ください。
アクセスログの確認
1.『ユーザーウェブアクセスログ表示』にてログを取得
ショップ管理ツールより、システム設定 > アクセスログ > ユーザーウェブアクセスログ表示 に遷移し
確認したい日時を検索条件『日時指定』に指定した上で、検索し、検索結果をダウンロードします。
アクセスログ検索手順の詳細はこちら
| NO | 内容 |
|---|---|
| 1 | ショップ管理ツールより、 システム設定 > アクセスログ > ユーザーウェブアクセスログ表示 に遷移します。 |
| 2 | 確認したい日時を検索条件の『日時指定』に指定します。 |
| 3 | 『表示』ボタンを押下し、検索します。 |
| 4 | 検索結果が表示されたら、ダウンロードボタンを押下します。 |
| 5 | ダウンロードしたCSVファイルを開きます。 |
2.アクセス履歴の確認
対象の会員ID、セッションID、IPアドレスのそれぞれ1つずつ、もしくは組み合わせて絞り込みます。
以下いずれかの項目に当てはまる場合は、機械的なアクセスの可能性があります。
1.以下のように複数の値が紐づくユーザーがいること
・1つの会員IDに、複数のセッションID、IPアドレスが紐づいている。
・1つのセッションIDに、複数の会員IDが紐づいている。
・1つのIPアドレスに、複数の会員IDが紐づいている。
2.繰り返し同じ遷移パターンでアクセスをしていること
リクエストパスに法則性があるか確認します。
さらに、受注や会員などの登録された内容が同じであれば、機械的な操作である可能性が高くなります。
アクセス履歴確認方法の詳細はこちら
取得したユーザーウェブアクセスログのファイルを開き、フィルターを使用して、以下をそれぞれ絞り込みます。
・会員ID
・セッションID
・IPアドレス
1.複数の値が紐づくユーザーがいることの確認
■『会員ID』を『1』で絞り込んだ場合
会員IDの『1』に紐づいてる、セッションIDとIPアドレスが複数件あるか、フィルターの機能を使用して確認します。
以下の場合は、セッションIDとIPアドレスが共に複数件紐づいているため、機械的な操作の可能性があります。
2.繰り返し同じ遷移パターンでアクセスしていることの確認
■『会員ID』を『34』で絞り込んだ場合
リクエストパス、リファラー、商品コードから、ページの遷移に法則性があるか確認します。
また、遷移のパターンに加え、会員情報や受注内容に不審な点が見られる場合は、機械的な操作の可能性が高いと考えられます。
3.被害にあう前に追加したい機能5選
不正アクセス・不正利用に特化した外部サービスを利用することで、さらにセキュリティを強化することができます。
導入をご希望の場合は、サポート窓口までご連絡ください。
※ご導入にあたり、影響調査と、一部、サービス提供会社との契約が必要です。
WAF
SQLインジェクションやクロスサイトスクリプト(XSS)のようなサイトへのアタックをブロックします。
既知のパターンの他、新たに発見された攻撃パターンへ対応できます。
他の設定によって、攻撃者のアクセス制限を設定できますが、
アプリケーションの脆弱性を突いた攻撃の場合、制限をすり抜けてしまう可能性があります。
WAFを使用することで、アプリケーションに到達する前に攻撃検知とブロック判断を行います。
クレジットカード3Dセキュア
クレジットカード3Dセキュアとは
インターネット上でクレジットカード決済をより安全に行うための、本人認証サービスです。
クレジットカードの不正利用の防止に役立ちます。
クレジットカード3Dセキュア導入方法
| NO | 担当者 | 内容 |
|---|---|---|
| 1 | お客様 | 利用希望の旨を、弊社サポート窓口までご連絡ください。 |
| 2 | お客様と決済会社にて3Dセキュア認証の契約をしてください。 | |
| 3 | 以下のうち利用しているテンプレートファイルを、 必要に応じてデザインを変更してください。 ・cart_3ds_entry.xhtml(3Dセキュア認証へのリダイレクトページ) ・【会員クレジットカード情報保存オプション使用時のみ】 member_credit_3ds_entry.xhtml (クレジットカード情報登録3Dセキュア認証ページ) ・【購入履歴決済方法変更(NP掛け払い)オプション使用時のみ】 member_history_order_credit_kessai_3ds_entry.xhtml (3Dセキュア認証ページへのリダイレクトページ) ・【定期販売オプション使用時のみ】 teiki_credit_3ds_entry.xhtml (定期購入商品のクレジットカード情報変更ページ) ・【見積管理オプション使用時のみ】 member_estimate_order_3ds_entry.xhtml (見積からの注文時3Dセキュア認証ページへのリダイレクトページ) |
|
| 4 | 弊社 | 各決済ごとの、設定方法をご案内します。 |
O-PLUX・不正チェッカー連携
かっこ株式会社様が提供するリアルタイム不正注文検知サービスです。
ユーザーの受注情報を基に、不審な点がないか複数の要素から解析し、
不正な決済処理によるチャージバック対策や、後払い決済での代金未回収対策など、不正利用対策ができます。
また、クレジットカード以外の決済にも対応している点が特徴です。
不正注文の傾向をベースに、独自に蓄積したデータを用いて解析しているため、
最新の不正注文の手口からも守ることができます。
ASUKA連携
株式会社アクル様が提供する不正検知・認証システムの「ASUKA」です。
クレジットカード決済による注文時や、カード登録時に、独自データを基に不正かどうかチェックを行います。
チェックした結果は、店舗様でご確認いただけます。
不正な取引を検知した際は、本人確認するため、決済処理を行う前に不正アクセスを排除します。
近年増加傾向にあるクレジットマスターの対策や、チャージバック対策を可能にします。
不正検知サービス(SBペイメントサービス)
SBペイメントサービス株式会社様の提供する、決済情報と機械学習で不正利用を検知するサービス「AI不正検知」です。
クレジットカード(SBペイメントサービス)利用時のみ、当機能を使用できます。
ユーザーがクレジットカード決済を行うタイミングで、不正利用のリスクをスコアとして算出し、
そのスコアを基に、あらかじめ「AI不正検知」の管理画面にて設定いただいたルールに則り判定します。
リアルタイムにスコアを確認できるので、不正な取引を早期に発見できます。
4.まとめ
ユーザーウェブにおける、不正アクセス・不正利用に関するケースをご紹介しました。
検知するしきい値や、制限内容が異なるため、
不正アクセスだけではなく、各ケースごとに対策することをおすすめします。
昨今、ECサイトへの攻撃の手口が巧妙化していますが、
ebisumartのセキュリティ関連の機能を用いて対策を練ることができます。
サイトが攻撃された際や、セキュリティ対策を練る際に、本特集を参考にしてみてください。
サイトやユーザーの安全を守るために、1つずつ始めていきましょう!
