小売業が直面しているサイバー脅威トップ10
小売業のサイバーセキュリティの脅威とその対策
2023年12月26日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎
この記事はPowerDMARCのブログ記事 Top 10 Cyber Threats Retailers are Facing の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
小売業界は歴史的に多くのセキュリティの課題に直面してきました。
伝統的に、これらは「物理的な」課題が多かったのですが、ビッグデータの時代の到来により焦点が変わってきています。
データが棚上の在庫と同じくらい、場合によってはそれ以上に価値を持つようになり、悪い知らせは、サイバー脅威の数と洗練度が増しているということです。
ここでは、これらのサイバーセキュリティの脅威について見ていき、小売業者が脅威を最小限に抑えるための実用的な戦略について議論します。
洗練されたフィッシング詐欺から破壊的なランサムウェア攻撃まで、これらの脅威の性質とそれらに対抗するための解決策を明らかにします。
小売業のサイバーセキュリティ概要
サイバーセキュリティは、データの完整性を守るために設計されたデジタル、そしてある程度は物理的なセキュリティ対策の一連から成る単純な概念です。
しかし、これだけでは状況の重大性を十分に表していません。
そのデータの中には、顧客の信頼とロイヤルティ、規制遵守、そしてビジネスの継続的な運営が組み込まれています。
このようなリソースを保護することは常に課題を提示してきました。しかし、データの保管とアクセス方法の最近の変化は、新しい脆弱性を多数開いています。
クラウドコンピューティングモデルへの移行は明確な利点を持っていますが、リスクを伴い、Statistaによって公表された研究によると、40%の組織がクラウドでデータ侵害を経験しています。
この変化により、サイバーセキュリティは小売業の運営にとって不可欠な要素となり、次のようなリスクが増加した領域を開いています。
- 拡大する攻撃面
- クラウドベースのシステムへの依存増加により、ハッカーや悪意のある行為者にとっての新たな機会が生まれています。
- 高価値データ
- データは便利なリソースから重要なビジネス資産へと移行しました。
- 複雑なサプライチェーン
- サプライチェーンの相互接続性が高まることで効率は向上していますが、それに伴い脆弱性も増加しています。
- 進化する脅威の風景
- サイバー脅威は驚異的な速度で進化し、しばしば従来のセキュリティ対策を上回っています。
警告は予防につながり、小売業に向けられるサイバー脅威の性質を理解することは、包括的なサイバーセキュリティ戦略を作成する際の必要な最初のステップです。
小売業者が直面している主要なサイバーセキュリティの脅威
サイバーセキュリティは、デジタル時代の夜明けからほぼ存在しています。
しかし、初期の脅威は単なる不便と考えられていました。それはもはや当てはまりません。
現在、サイバー攻撃は単に起動しないPCやいくつかの迷惑なポップアップ以上を意味します。
それは運用を麻痺させ、評判を破壊する可能性があります。
これが、脅威の性質とそれらを軽減できる解決策を理解することが重要である理由です。
小売業者が認識すべき主要な脅威には次のようなものが含まれます。
1. フィッシング攻撃
フィッシング攻撃は、正規のソースを模倣した欺瞞的なメールやメッセージを使用し、ログイン情報や金融情報などの機密データを盗むことを目的としています。
これらの攻撃は迅速に進化し、「新時代」のフィッシング攻撃では、ますます洗練されています。
これらの攻撃は人的ミスを利用し、著しい財務上の損失やデータ侵害を引き起こす可能性があります。
広大な顧客データベースと金融取引を行う小売業界は、これらの洗練された詐欺に特に脆弱です。
フィッシング攻撃への対策
- 従業員研修
- フィッシング試みを認識し報告するための定期的なワークショップ。
- 高度なメールフィルタリング
- 安全なメールの重要性は言い過ぎることはありません。フィッシングメールを識別しブロックするソフトウェアを導入することは必須です。
- 2要素認証
- 機密データへのアクセスにセキュリティの追加層を加える。
2. ランサムウェア
ランサムウェアはその名の通りであり、その結果は壊滅的なものとなることがあります。
ランサムウェア攻撃では、データが暗号化され、そしておそらく驚くことではありませんが、それを解除するための身代金が要求されます。
身代金を支払ってもデータが解放されるとは限らない点に注意する価値があります。
小売業界におけるデータの重要性が高いため、この業界はそのような攻撃の主要なターゲットとなっています。
さらに、ランサムウェアの洗練度が増すことで、標準のセキュリティ対策をしばしば回避する洗練された攻撃により、これは一層の難題となっています。
ランサムウェア対策
- 定期的なデータバックアップ
- データを頻繁にバックアップし、常に主要なITインフラストラクチャから分離された場所にオフサイトバックアップを保持します。
- 更新されたセキュリティプロトコル
- すべてのシステムとソフトウェアを最新のセキュリティパッチで更新します。
- 従業員の認識
- スタッフに怪しいリンクや添付ファイルを認識し避ける訓練を行います。
3. POSシステムの侵害
販売時点情報管理(POS)システムの侵害は、小売業界にとって明らかに懸念される問題です。
これらの侵害は、サイバー犯罪者がPOSシステムに侵入し顧客の支払情報を盗むときに発生します。
「キャッシュレス」社会への移行が進むにつれ、取引の大部分がデジタル化されるため、これらの攻撃は増加しています。
小売業界におけるカードと非接触型支払いの高い取引量は、それを高価値のターゲットとして設定しています。
POSシステム侵害への対策
- 強化されたセキュリティ対策
- エンドツーエンドの暗号化を実装し、安全な支払い処理技術を使用します。
- 定期的なシステム更新
- 脆弱性を修正するためにPOSソフトウェアを定期的に更新します。
- 従業員研修
- POSシステムの安全な取り扱いと不審な活動の認識についてスタッフを教育します。
4. DDoS攻撃
分散型サービス拒否(DDoS)攻撃は、特に強力なオンラインプレゼンスを持つ小売業者にとって重大な脅威です。
DDoS攻撃にはさまざまなタイプがありますが、通常の目的はWebサイトやオンラインサービスに圧倒的なトラフィックを送り込み、それを遅くするか、最悪の場合は完全にクラッシュさせることです。
小売業者にとって、これは売上の混乱、顧客関係の損傷、ブランド評判の損傷を意味する可能性があります。
これらの攻撃が、スキルの低いハッカーでさえ簡単に開始できることから、小売業界にとっては持続的な懸念事項です。
DDoS攻撃への対策
- 堅固なネットワークセキュリティ
- DDoS攻撃を検出し緩和するための高度なネットワークセキュリティソリューションを実装します。
- トラフィック監視
- Webサイトのトラフィックを継続的に監視し、異常な急増を識別し対応します。
- バックアップと緊急計画
- 攻撃中に運用を維持するためのバックアップシステムと緊急計画を確立します。
5. 内部の脅威
すべてのサイバー脅威が外部から来るわけではありません。
手動でのデータ侵害のリスク - よく内部脅威と関連付けられる - は常に存在し、Information Weekの報告によると「手動でのデータ侵害」のレベルが驚異の35%に達しています。
高い従業員の離職率と機密顧客データを持つ小売業界は、特にこの脅威に弱いです。
これらの脅威は、信頼できる個人が合法的なアクセスから生じるため、検出と防止が困難です。
内部脅威への対策
- アクセス制御
- 厳格なアクセス制御を実施し、定期的にアクセス権限を見直します。
- 従業員のスクリーニングと研修
- 徹底的なバックグラウンドチェックを行い、継続的なセキュリティ意識研修を提供します。
- 監視および検出システム
-
不審な活動を検出するための高度な監視ツールを利用します。
Katanaのような堅牢な在庫管理ソフトウェアを統合することも内部監視とデータセキュリティを強化することができます。
6. サプライチェーン攻撃
一見すると、サプライチェーンの脅威は小売業者のコントロール外にあるように思えます。
どんなチェーンでも、問題は常に最も弱いリンクにあるため、もし貴社のサイバーセキュリティ戦略が十分ならば、最も弱いリンクは他の場所にある可能性が高いです。
その結果、従来のサイバーセキュリティ対策は実質的に無力です。
しかし、サプライチェーンのセキュリティが間違いなくより困難であるにもかかわらず、小売業者のこのリスクへの露出を最小限に抑える解決策は存在します。
サプライチェーン攻撃への対策
- サプライヤーのセキュリティを審査
- すべてのサプライヤーのサイバーセキュリティ実践を厳格に評価し監視します。
- ネットワークのセグメンテーション
- 供給者がアクセス可能なネットワークから重要なネットワークセグメントを分離します。
- 定期的なセキュリティ監査
- サプライチェーンのセキュリティ監査を頻繁に実施します。
7. マルウェアと高度持続的脅威(APTs)
マルウェアと高度持続的脅威(APTs)は、悪意のあるソフトウェアを使用して小売システムに侵入します。
マルウェアは新しい脅威ではありませんが、世代ごとに進化し、より洗練されています。
APTsは、既存のマルウェアに「便乗」することが多い複雑な攻撃形式です。
APT攻撃は長期にわたりデータを盗みます。これは非常に洗練された攻撃形式であり、しばしば国家によって行われる攻撃と関連付けられています。
しかし、最近ではさらに憂慮すべきことに、組織犯罪グループの間でAPTの使用が増加しています。
マルウェアとAPTへの対策
- 高度な脅威検出
- 最先端のマルウェア検出および対応システムを導入します。
- 継続的な監視
- 通常と異なるネットワーク活動に対する継続的な監視を実施します。
- 定期的なセキュリティ研修
- 最新の脅威と対応プロトコルに関してスタッフを常に更新します。
8. データ漏洩
データ漏洩は「偶発的な」データ侵害と考えられるかもしれません。
小売業では、これはしばしば顧客データや内部通信などの機密情報の意図しない露出を通じて発生します。
この形式のデータ侵害の背後に悪意は特にありませんが、その発生は主に不十分なセキュリティプロトコル、従業員のエラー、またはシステムの脆弱性に起因することが多いです。
小売業者にとって、データ漏洩の結果は、偶発的であるかどうかに関わらず重大です。
データ漏洩の結果には、法的な影響、顧客信頼の喪失、財務上の損害が含まれます。
データ漏洩への対策
- 強化されたデータセキュリティ
- データ保護対策を強化し、暗号化および安全なデータ保管を含みます。
- 従業員研修
- 従業員にデータ取扱いとプライバシープロトコルに関して定期的に研修を行います。
- 定期的なセキュリティ監査
- 潜在的な脆弱性を特定し対処するための徹底的な監査を実施します。
9. Eスキミング
Eスキミングは、オンラインプラットフォームに注入される悪意のあるコードを含む高度持続的脅威(APT)攻撃の一形態です。
一度注入され活性化すると、顧客情報(支払い詳細を含む)を盗むことができます。
問題は、APT攻撃に共通して、事件が長期間検出されない場合が多いという点で複雑化します。
オンライン取引のたびにデータ盗難の機会が生じるため、オンライン販売の高い取引量を行う小売業者にとって、この脅威はより大きなものです。
Eスキミング対策
- 定期的なWebサイト監査
- オンラインプラットフォームのセキュリティ監査を頻繁に実施し、脆弱性を検出します。
- 安全な支払いゲートウェイ
- 詐欺検出機能が強固な安全で信頼性の高い支払いゲートウェイを利用します。
- リアルタイム監視
- Webサイト上での怪しい活動をリアルタイムで監視するためのシステムを実装します。
10. クラウドセキュリティの脆弱性
クラウドコンピューティングは一種の二刃の剣です。
一方で、この形式のデータストレージには多くの利点があります。
しかし、無料の昼食はないということで、クラウドコンピューティングには多くの課題があります。
その中でも特にセキュリティが問題です。
クラウドベースのインフラは、誤設定されたクラウド設定、不十分なセキュリティ対策、またはサードパーティサービスの欠陥から生じる脆弱性を導入します。
このような弱点は、不正アクセス、データ侵害、サービスの中断につながる可能性があります。
クラウドセキュリティ脆弱性への対策
- 定期的なセキュリティ評価
- クラウドの構成とセキュリティ設定の頻繁な評価を実施します。
- 従業員研修
- スタッフにクラウドセキュリティのベストプラクティスと潜在的リスクについて教育します。
- クラウドプロバイダーとの連携
- クラウドサービスプロバイダーと緊密に連携し、最新のセキュリティ対策を確保し、脅威に迅速に対応します。
小売におけるサイバーセキュリティ脅威: 強固なセキュリティの重要性
データを守ることだけが問題なら、強固なセキュリティを持つための理由はまだ説得力があります。
しかし、それだけではありません。
データを守ることは、運営の最大の資産である評判、ブランドアイデンティティ、業務、そしてあなたが保持する顧客のデータの信頼を守ることについてです。
これらの課題に対処するために一つの魔法の杖を振ることはできません。
むしろ、リスクを特定することから始まり、それらを軽減するための適切なメカニズムが確実に存在するようにする、多岐にわたるアプローチが必要です。