電子商取引はハッカーにとって新たな金儲けの手段となっている。電子商取引のユーザーデータの90%が漏洩している

文/李曦

サイバーハッカーはあなたのすぐ近くにいる

彼の名前は鍾道（仮名）、25歳、北京郊外の新荘に住み、働いています。彼が今行っている取引は、あなたに関係があるかもしれません。あなたの携帯電話番号、メールアドレス、電子商取引サイトに登録されているその他の個人情報は、数回の取引で彼の手の中で現金に変わります。彼は電子商取引会社のユーザーデータを漏洩した首謀者であり、電子商取引会社を怒らせ、無力にしている犯人の一人です。彼はネットワークハッカー業界チェーンの「仲介人」です。

近年、電子商取引企業は業界から「金儲けの王様」として認知され、注目を集める一方で、「サイバーハッカー」と呼ばれる「新興組織」の一団の標的にもなり、時折「嫌がらせ」をされ、「みかじめ料」を要求されるようになった。その要求額は数百元から数千元に及ぶ。

一般的な電子商取引環境の制約により、一部の電子商取引企業は昨年、ハード広告（メディアに掲載される純粋な広告）への多額の投資から、検索エンジンの入札ランキングを通じてプロモーションを追求する方向にシフトしました。しかし、彼らはこの動きがハッカーの注目を集めるとは予想していませんでした。

電子商取引がサイバーハッカーの新たな標的に

九九健康モールの製品運営ディレクター、林大木氏はフェニックス・ドットコム・テクノロジーに対し、2012年から2011年にかけて電子商取引環境が大きく変化したため、同社は2011年末にハード広告投資を減らし、BaiduやSogouなどの検索エンジンへの入札投資を2011年のハード広告投資と同額増加させたと明かした。この動きがハッカーを引き付けたのだ。

これは業界チェーンの「ダークサイド」だと彼は無力そうに語り、このすべてを明らかにすることは最後まで戦うことを意味するが、我々はもう我慢できず、戦うつもりだと述べた。

同氏は、昨年9月から2011年末までにウェブサイトが3回攻撃を受けたことを明らかにした。各攻撃は1週間から10日以上続いた。最後の攻撃は7日間続き、直接的にコンピュータルームが3日間麻痺した。ウェブサイトはアクセス不能となり、直接的な経済損失は50万元に達した。同社のトップマネジメントは、一夜にしてコンピュータルームを変更することを決定せざるを得なかった。特筆すべきは、相手側（サイバーハッカー）が要求したみかじめ料はたったの1,000元だったことだ。

林大木氏は、攻撃について、攻撃があるたびにDDOSトラフィックが非常に大きくなり、会社の帯域幅がまったく耐えられなくなったと語った。彼らは王蘇科技から攻撃防止CDNサービスを借りることしかできなかった。この項目だけで月額10万元以上のコストがかかった。

「結局、高額なコンピューター室を借りることは、私たちのような中小電子商取引会社が長期的に負担できるものではありません。事件を報告したり、法的手段を求めたり、仲介業者に依頼して相手方と連絡を取るなど、より良い方法で問題を解決することを検討してきましたが、どれもうまくいきませんでした。相手方は、私たちには対処する方法がないと確信しています」と彼は言いました。

電子商取引企業の90％が影響を受け、そのほとんどが安全を確保するために資金を投入することを選択した。

業界関係者は、過去の例から判断すると、ある程度の規模と評判を持つ企業が「サイバーハッカー」の標的になっていると考えている。第一に、これらの企業は十分な資金を持っており、第二に、「保護料」の額が高くないため、問題を解決するためにお金を使う意欲が高い。そのため、一部の中小電子商取引企業はそれほど危険にさらされていない。

しかし、これらのハッカーたちは今や甘さを味わい、その触手はますます広がり、一部の小規模な電子商取引会社も例外ではなく、九九健康モールもその1つである。

この写真は、上級の電子商取引担当者がハッカーの取引チャネルから、いくつかの電子商取引会社が攻撃を受けたことを知った様子を示しています。電子商取引会社のデータは機密性が高いため、特定のデータの一部はマークされていません。

林達木さんが勤務する九九健康モールは、大手の電子商取引会社ではないことが分かっている。中国オンラインホールディングスグループ傘下の輸入健康食品を専門とする電子商取引サイトだ。2009年の設立以来、従業員60人規模に成長した。

一流ブランドや二流ブランドではないECブランドがなぜ攻撃を受けているのかと尋ねると、彼のサイトは輸入健康商品を販売するECサイトだからだと明かした。その商品単価は国産健康商品の2～3倍で、1商品の平均価格は600元以上。現在、同サイトには約10万人の登録ユーザーがおり、実際に商品を購入したユーザー数も相当数に上る。他のECサイトのユーザーよりも購買力が高いため、「ハッカー」が同サイトを狙う理由なのかもしれない。

「この何万人ものユーザーを過小評価しないでください。彼らは皆、最高の購買力を持つ非常に貴重なユーザーであり、彼らの個人データこそが競合他社が最も重視するものです。」

共同購入業界の中堅層によると、JD.com、Dangdang、Vancl、Alipayなどの共同購入企業はいずれも程度の差こそあれ、このような事態に遭遇しており、発生した損失やデータ漏洩は上級管理職の注目を集めているが、何らかの理由で、彼らは法的措置を取ったり積極的に解決策を探したりせず、沈黙を守ったり、積極的に問題から距離を置いたりしている。

「ハッカー」は、お金だけが災害を回避できると傲慢に語った

フェニックステクノロジーのオフライン調査によると、上海市楊浦区のヤンさん、北京市のワンさん、上海市南匯区のグオさんは、いずれもJD.comのアカウントが盗まれ、アカウント内のJD.comクーポンと現金の一部がなくなったと主張している。

写真：リン・ダム氏とハッカーとのチャット記録。オンライン名「Little Handsome」の人物がハッカー。

穆氏は、自分と「ハッカー」とのチャット記録と、百度の入札ページにある注文メッセージのスクリーンショットを公開した。写真には、ハッカーが、電子商取引サイトが、金を受け取らなければサーバーを攻撃すると言っていると主張していることが明確に記されていた。

写真: Baidu の入札ページにある注文メッセージのスクリーンショット。

写真：「サイバーハッカー」が集まるQQグループ。ユーザーデータ取引のかなりの部分がQQ取引を通じて行われている。

こうした取引に詳しい仲介業者によると、同氏が直接目撃した電子商取引のユーザーデータ取引に関与した電子商取引企業は、国内の有名電子商取引企業のほぼ全てを網羅しており、そのほとんどは一流、二流の電子商取引企業だ。取引データによると、これらの企業の約90％がハッカーの攻撃を受け、程度の差はあれユーザーデータが漏洩しているという。

電子商取引企業が明かしたがらない秘密

電子商取引の専門家がフェニックス・テクノロジーに明らかにしたところによると、金銭目的のため、ハッカーによるインターネット企業への攻撃は、被害者であれ攻撃者であれ、通常は公表されない。なぜなら、一度公表されれば、事件は核分裂反応を起こし、企業の内部ユーザーデータの一部に関する真実が明るみに出てしまうからだ。

同氏は、実際のユーザー数やユーザーの購買状況が、以前に発表したデータと一定の乖離を示すことが多いため、一部の電子商取引企業は投資家やウォール街の資本市場の影響で実際のユーザーデータを容易に公開しないと強調した。

これは賢明な行動ではない。特に、敏感な時期に、世論の最前線で事業を展開している有名な電子商取引企業にとっては。「攻撃を受けることは誰もが知っており、わずかな費用で済むため、災難を避けるためにお金を使うのは不思議ではない」と同氏は述べた。

インターネット評論家の趙占玲氏は、電子商取引会社がハッキングを受けたことを認めれば、その情報セキュリティレベルが消費者から疑問視されやすくなり、パニックを引き起こしてユーザーを失うことにもつながると述べた。

趙展玲氏は、ハッカーの攻撃により一部の消費者がユーザー情報を失い、その最も重大な影響はアカウント資金の盗難であると述べた。通常の状況では、アカウント内の資金の額を証明する方法がないため、消費者が権利を保護することは困難であり、アカウント資金の盗難がウェブサイトの情報セキュリティ対策の不十分さに関連していることを証明することも容易ではない。電子商取引サイトがハッキングされたことを認めれば、被害を受けた消費者が権利を守ることがより有利になります。

弁護士：民事責任を追及できる

この現象について、フェニックステクノロジーは浙江易維法律事務所の弁護士である呉迪氏に相談した。呉迪氏は、刑事責任の出発点が高すぎることを考慮すると、このようなケースでは権利を保護するために行政責任または民事責任を考慮することができると述べた。この問題では、公安行政処罰法の行政責任を加害者に負わせ、企業の生産を妨害したり、公有財産または私有財産を不法に占拠したりすることと特徴付けることが検討できる。

刑事訴訟の立件の出発点は比較的高い。民事訴訟の立件において正当な権益を守るためには、実際に利益を失ったことの立証責任を負わなければならない。つまり、実際に金銭的損失があったことが必要であり、そうでなければ定義することが難しい。したがって、関連証拠を保存した後、公安機関に事件を報告することが推奨される。

同氏は、刑事訴訟を起こすのは困難であり、民事訴訟を起こす場合は実際に利益の喪失、つまり実際に金銭の支払いが行われなければならないと強調し、そうでなければ定義することが困難になるため、行政的アプローチを取ることを提案した。 （李曦）

原題: 電子商取引はハッカーにとって新たな金儲けの手段となっている。電子商取引のユーザーデータの90%が漏洩

キーワード: 電子商取引の成功、顧客獲得、金儲け初心者、90%、ユーザー、リーク、Li Xi、ネットワーク、ウェブマスター、ウェブサイト、ウェブサイトのプロモーション、金儲け