小売店アプリの75％が危ない？ 年末年始の買い物はセキュリティに要注意

年末年始のオンラインショッピングには注意だ。消費者側はもちろん、小売店側がしなければならないことは多い。なぜだろうか。

[David Jones，Cybersecurity Dive]

　特に年末年始はオンラインショッピングをする消費者が増え、そこには危険が潜んでいる。それはなぜだろうか。

年末年始が危ない理由は

　アプリケーションセキュリティを扱うVeracodeのレポート（注1）によると、小売店や接客業が利用するアプリケーションの約4分の3にセキュリティ上の欠陥があると判明した。これらの欠陥のうち、修正されたのはわずか4分の1だ。

　さらにこれらのセキュリティ欠陥の約5つに1つは「深刻度が高い」とされ、悪用された場合、組織と消費者に深刻なリスクをもたらす可能性がある。

　米国では、11月末のブラックフライデーのセールに消費者が殺到して、4人のうち3人以上が買い物をする。さらに5人のうち3人が全ての買い物をオンラインで済ます。つまり、小売業者はサイバー攻撃やその他のデータ侵害に弱いということだ。

　サプライチェーンのボトルネックがすでに小売業やeコマースに影響を及ぼしており、顧客のロイヤルティーと信頼を維持できるかどうかは、小売業者にとって大きな問題だ。IBM Research（注2）とPonemon Instituteによると、小売業における情報漏えいの平均コストは330万ドルに上るといわれている。

小売業を苦しめる3つの脆弱性

　小売業や接客業を営む企業（注3）は「サーバの設定」「安全ではない依存関係」「認証」という3種類の脆弱（ぜいじゃく）性に注意する必要がある。

　Veracodeの製品管理担当副社長ティム・ジャレット氏はこう語る。

　「第一のリスクは顧客データ、特にクレジットカードデータや認証情報の盗難だ。業務の中断は二次的なものだが、デジタルコマースへの移行が進んでいる現在では中断の影響が大きいため、おそらく数年前よりも重要視されている」

　Webアプリケーションの脆弱性をスキャンしたり、ソフトウェア開発ライフサイクルにおいてファーストパーティーやサードパーティーの脆弱性に関するコードスキャンを組み込んだりするなど、小売業者が脆弱性のリスクを軽減するために実行可能なステップは幾つかある。

　報告書によると、Veracodeは50万件のアプリケーションについて2000万回のスキャンを分析した。その他、製造業やヘルスケア、テクノロジー、金融サービス、政府機関などが分析対象だ。

　2022年11月初めに、雑貨小売店チェーンのBed Bath & Beyondは連邦規制当局への提出書類でデータ侵害を報告した（注4）。それによれば情報漏えいはフィッシング攻撃と関係があるという。だが同社は機密データが漏えいしたと信じるに足る根拠はなかったと述べる。

出典：Three-quarters of retail, hospitality applications have security flaws（Cybersecurity Dive）

注1：State of Software Security v12

注2：Cost of a Data Breach Report 2022

注3：The State of Software Security Industry Snapshot: Retail

注4：Bed Bath & Beyond reviewing data breach（Cybersecurity Dive）