前回解説したとおり、最近のクレジットカードに対する攻撃は、主に決済をしようとECサイトに入力したデータをそのまま盗み取るという、ECサイトにあるWebアプリケーションの脆弱性をついた攻撃が主流になっています。
対策はECサイト自身が脆弱性を防ぐことですが、利用者側の対策としては、事前にカード情報を保管しておいて決済する方法もあります。それを安全にするためにCoFトークナイゼーションが広がり始めています。
-
最近流行のクレジットカードのナンバーレス化もセキュリティの一環
クレジットカード情報を保存するのも一苦労
CoF(カード・オン・ファイル)とは、クレジットカードの情報をECサイトなどが保管することです。サブスクリプションや月額払いサービスを契約した場合にも保管しますし、Amazonや楽天市場のようなECモールにも保管することは多いでしょう。
-
例えばこれはアマゾンでクレジットカード情報が保管されているところ
こうしたサービスで保管したカード情報がそのまま流出することになれば、漏えい件数が跳ね上がります。過去に起きた最大の事例は、恐らく2005年に明るみに出た決済代行業者の米CardSystems Solutionsの事例でしょう。当時、4,000万枚以上のカード情報がサイバー攻撃によって流出したとされています。
時代は巡って2022年2月28日、日本で決済代行業者のメタップスペイメントが最大約46万人分のクレジットカード情報が流出したことを発表しました(最終的にはクレジットカード番号が46万395件、暗号化されたクレジットカード番号が241万5,750件)。こちらもメタップスペイメントのシステムへの侵入を許し、クレジットカード情報を盗まれたようです。ちなみに、同社はちょうど1年後の2023年2月28日に不正アクセスに対する対応を完了したと発表しています。
-
丸1年と対策に時間がかかったメタップスペイメントの発表文
昨今、ECサイトはクレジットカード情報を保持せず、決済システムは他社のものを使っているのが一般的です。そうしたサービスを提供するのが決済代行業者で、ECサイト自体はクレジットカード情報を取り扱わず、決済代行業者がカード情報を処理しています。
決済代行業者やECモールなどのように、複数のECサイトの決済情報を管理する事業者を「PSP(Payment Service Provider)」といいます。複数のECサイトの決済がPSP1社に集まるため、その扱うカード情報は膨れ上がります。こうしたPSPは、セキュリティ面でもさまざまな対策を行っています。
-
PSPは加盟店とアクワイアラの間に立って決済の代行を行います。クレジットカードのセキュリティ対策においても重要なプレイヤーです(経済産業省「クレジットカードシステムのセキュリティ対策の更なる強化に向けた方向性(クレジット・セキュリティ対策ビジョン2025)第1.1版」から引用)
クレジットカード情報をいかに保存するか
PSPはクレジットカード情報を保管するため、割賦販売法ではセキュリティ基準のPCI DSSへの準拠が必要です。PCI DSSの最新版はPCI DSS v4.0で、厳しい基準ですがクレジットカード情報を保管するためには対応が必須となっています。今後新バージョンへの移行が進むのでしょうが、現状はv3.2.1への準拠が一般的でしょう。
PCI DSSへの対応には定期的な検査などが必要になるため、ハードルが高くなっています。このため、通常のECサイトなどはクレジットカード番号非保持を選択しています。クレジットカードの情報を保管しないので、PCI DSSへの対応は不要となっています(このあたりの事情については前回も解説しました)。
その代わりにクレジットカード番号を保管する役割を担うPSPがPCI DSSに対応します。ECモールではアマゾンや楽天のように、自社モール内での決済のためだけでなく、決済サービスとしてのAmazon Payや楽天ペイのためにカード情報も保管しているので、扱う情報はかなりの数になりそうです。
PSPの対策のひとつとして「トークナイゼーション」があります。トークナイゼーションとは、クレジットカード番号を全く異なる番号に変換するというものです。一般ユーザーとしては、Apple Pay/Google Payで使われているものが分かりやすい例でしょう。Apple Payの場合、登録したカード情報の「デバイスに固有の番号」として表示されているものがトークナイゼーションでトークン化された番号です。
-
Apple Payのカード情報画面。中央のiD/Visaと書かれている部分がトークン化された番号です
実際にApple Payで決済を行う場合、使われるのはこのトークン化された番号で、クレジットカード情報自体は送信されません。トークン化された番号は決済システム上のいずれかの場所でクレジットカード番号に戻されて決済に使われます。
-
EMVcoによるトークナイゼーションの説明図。種類によってカード番号(PAN)に戻す作業がどのプレイヤーで発生するかが分かります(EMV Payment Tokenisation Specification - Technical Framework v2.3から引用)
決済をしてPSPやアクワイアラ、決済ネットワークを経由してイシュアまでトークンが送信され、イシュアがトークンを解除してクレジットカード番号に戻す、というのが経路上の漏えいを防ぐ意味でも安全でしょう。Apple Payはこのパターンを採用しているようです。
この場合、Apple PayがPSPのデジタルウォレットとして機能してカード情報を集約。決済時はトークンを使うことで経路上での情報漏えいの危険性を最小化します。トークナイゼーションの仕組みでは、基本的に使える加盟店やデバイスが紐付けるといったことができるため、トークンが盗まれたとしても異なるデバイス、異なる加盟店には使えないということになります。
加えてApple Payでは生体認証による本人認証があり、これはセキュリティコードとは異なり情報がオンライン上に保管されません。さらにEMV 3-Dセキュアによる本人認証も加わって、より強固な認証が実現されています。
物理カードの場合は、認証のためにセキュリティコードやEMV 3-Dセキュアが必要になりますが、今後、FIDO2認証が普及すれば、スマートフォンやPCの生体認証を使った本人認証が可能になります。
PSP側でカード情報を保管するにしても、トークナイゼーションによるトークン化をしていれば、それが盗まれたとしてもトークンを無効化するだけで済みます。メタップスペイメントの場合、トークンだけでなくクレジットカード情報自体が盗まれたとされており、このあたりは同社のシステムに問題があったようです。
逆に言えば、適切に管理されていないとトークナイゼーションといえども完全に安全とは言えないということになります。とはいえ、単にクレジットカード情報を保管しているだけでは危険性は高まるので、PSP側もトークナイゼーションを含めた適切な対策が必要になります。
トークナイゼーション自体は、適切なトークン発行を含めて作業量が増えてしまいますが、例えば日本カードネットワーク(JCN)とTISが2月に開始した「ブランドトークンCoFサービス」では、国際ブランドへのトークン発行のリクエストを一元化することでPSPの負荷を削減できるとしています。
また、海外では「Click To Pay」と呼ばれる国際ブランドによるデジタルウォレットサービスも始まっています。これは、Apple Payなどのようにカード情報を集約するサービスで、対応するサービスに対して1クリックでクレジットカード情報を入力できるうえに、保管されるカード情報はトークン化され、国際ブランド自体が運営することで手間も削減できます。EMV SRC(Secure Remote Commerce)と呼ばれる標準規格化されたもので、今後の日本での展開も期待できます。
-
これは米国Expedia.comの予約ページ。支払い方法でClick To Payを選んで支払を行います
-
米国の場合、Click To Payは国際ブランド自身が提供。Visa/MasterCardなどのサイトでカード情報を登録すると、決済時には一覧で表示されます。日本でも関連各社が導入の検討はしているようです
クレジットカードの情報は、とにかく生データがそのまま流通することで、入力時や保管時などに盗まれることが多いのが課題です。こうした弱点を解消する技術の普及で、オンライン決済の信頼性向上が期待されます。
