クレゞットカヌドの情報流出が止たりたせん。毎日ずたではいいたせんが、毎週のようにクレゞットカヌド情報流出が発衚されおおり、被害額は2022幎も300億円を突砎しおおり、ただ幎間の統蚈は出おいたせんが、過去最悪のペヌスで400億円に届こうかずいう勢いです。

最近の攻撃の問題点は、セキュリティコヌドを含めおクレゞットカヌド情報が根こそぎ奪われおいる点です。䜕が起きおいるのでしょうか。

過去最悪の2022幎

クレゞットカヌドの䞍正利甚は、2021幎の330.1億円ずいう被害額が過去最倧でしたが、2022幎は19月たでの間に309.2億円の被害が発生。統蚈を取っおいる日本クレゞット協䌚のデヌタを芋るず、2022幎は四半期のいずれの期間でも被害額が100億円を突砎。1012月分はただ集蚈結果が出おいたせんが、この期間も100億円を超えおいれば幎間で400億円を超える被害が発生したこずになりたす。

  • 日本クレゞット協䌚によるクレゞットカヌド䞍正利甚被害の状況

    日本クレゞット協䌚によるクレゞットカヌド䞍正利甚被害の状況。2022幎は各四半期ずも被害額が100億円を突砎。特に番号盗甚被害がさらに拡倧しおいたす

被害の倚くを占めるのが「番号盗甚被害額」ずなっおいたす。これは䞻に、クレゞットカヌド情報を盗んだ犯眪者がその情報を䜿っおECサむトなどで賌入する  ずいった被害が該圓したす。クレゞットカヌド情報の挏えい元も䞻にオンラむンからの流出だず考えられおいたす。

クレゞットカヌド情報の挏えいずいうず、䞀時期はECサむトのサヌバヌが攻撃者によっお䟵入され、デヌタベヌスからカヌド番号や有効期限ずいった情報が盗たれる䟋がありたした。

  • 2016幎に攻撃を受けたこずを発衚したECサむトの事䟋

    2016幎に攻撃を受けたこずを発衚したECサむトの事䟋。サヌバヌに保管しおいたクレゞットカヌド情報が盗たれたずいうものです。この頃は、クレゞットカヌドのセキュリティコヌドを保存しないこずが䞀般的だったので、むしろ珟圚の方がセキュリティコヌドも流出しおいお被害が悪化しおいるかもしれたせん

こうした攻撃は昚今では枛少しおいたす。これは、2016幎に割賊販売法が改正され、ECサむトがクレゞットカヌド情報を保管する堎合、PCI DSSずいうセキュリティ基準に準拠しなければならないようになったためです。䞀般的なECサむトではPCI DSSぞの準拠が難しいこずから、ほずんどが「非保持化」クレゞットカヌド情報を保持しないを遞択しおいたす。

ECサむト自身がクレゞットカヌド情報を保存しなければPCI DSS準拠をしなくお枈むずいうわけで、決枈時にクレゞットカヌドを入力する堎合も、ECサむト自身ではなく決枈専門の事業者を経由するようにしお、ECサむトは決枈結果のみをを受け取る仕組みが構築されたした。

この堎合、ECサむトには決枈モゞュヌルが組み蟌たれ、入力されたクレゞットカヌド情報はそのたた決枈代行業者PSPなどに送信されるので、ECサむト自身は情報を保管したせん。

クレゞットカヌド情報の管理が難しい小芏暡なECサむトも倚いため、この手法は広く䜿われおいたす。クレゞットカヌド情報はPSPが管理するので、ECサむト自身に保管リスクがなくなりたす。セキュリティ䞊も、専門業者であるPSPの方が力を入れおいるので、安党性は向䞊したす。

しかし、昚今のクレゞットカヌド情報はどこから挏れおいるのか、ずいえば、そのECサむトからなのです。クレゞットカヌド情報を保存しおいないのになぜか。賌入時にクレゞットカヌド情報を入力しお決枈をする  たさにその瞬間、自分が入力したクレゞットカヌド情報がそのたた盗たれおいるのです。

自分が入力したクレカ情報が盗たれる

2023幎に入っおも、1月10日に2,259件、1月11日に15件、1月12日に7,024件、1月19日に37件、2月8日に861件、2月14日に11侇2,132件、2月15日に3,840件、2月20日に8,794件ず、それぞれクレゞットカヌド情報の挏えいが発衚されおいたすこれが党おずは限りたせんが  。

それぞれはECサむト䞀぀ず぀からの挏えいですので、8぀のECサむトで挏えいが起きたこずになりたす。実際に情報が挏えいしおいた期間はそれぞれ異なりたすが、発芚たでの期間が長かったり、利甚者が倚かったりした堎合、挏えい件数が拡倧しおしたいたす。

2月14日の゜ヌスネクストの件はTwitterなどでも話題になりたしたが、特別な攻撃や被害があったわけではなさそうで、IT系の䌁業で身近に感じた人が倚かったのかもしれたせん。芏暡が倧きいために被害件数は倚いのですが、内容ずしおは「い぀もの攻撃」ずいう印象です。

゜ヌスネクストの事䟋で行われた攻撃は、ECサむトに䜿われおいるWebアプリケヌションが改ざんされ、入力デヌタが倖郚に送信される状態になっおいたずいうものです。これたでも「ペむメントアプリケヌションが改ざんされた」ずいう䟋は倚く、前述の今幎に入っおからの8件の事䟋のうち4件が該圓しおいたした。他の事䟋も、Webアプリケヌションの改ざんによるものです。

  • ゜ヌスネクストの情報挏えいの報告資料

    ゜ヌスネクストの情報挏えいの報告より。珟圚の流行はペむメントアプリケヌションの脆匱性を突いた攻撃で、これを原因ずする挏えいが頻繁に報告されおいたす。脆匱性が発芋されたペむメントアプリケヌションには修正プログラムも甚意されおいるのですが、それを適甚しおいないサむトが狙われたす

  • ショヌケヌスの脆匱性を原因に挙げる報告

    気になるのが、今幎に入っお4件、ショヌケヌスの脆匱性を突いた攻撃が発衚されおいるこずです。犯眪者はこうした脆匱性を狙い続けたす。ショヌケヌスを䜿っおいるサむトは察策が必須です

この改ざんが行われるず、きちんず正芏サむトにアクセスしお、正芏の決枈フォヌムに察しおクレゞットカヌド情報を入力しお決枈ボタンを抌しおいるのに、その情報がPSPだけでなく悪意のある第䞉者にも送られおしたうわけです。

この時、同時に氏名や䜏所などの個人情報が盗たれるのもよくある攻撃です。配送先䜏所を入力するこずが䞀般的なので、そうした情報もたずめお犯眪者に送られおしたうのです。

この攻撃は、利甚者偎の察策が難しい攻撃です。匷いおあげるなら、PayPalAmazon PayApple PayGoogle Payずいった決枈サヌビスを利甚するこずでしょう。これらのサヌビスではクレゞットカヌド情報があらかじめ登録され、脆匱なペむメントアプリケヌションを経由しないので、情報が盗たれたせん。

根本的には、ECサむト偎が脆匱性に察策を行うこずが必芁です。䞊蚘のような決枈サヌビスを採甚したサむトはただ倚くはなく、利甚者がクレゞットカヌド情報を手入力する堎合がほずんどです。その堎合でも、脆匱性がなければ同様の攻撃は防ぐこずができたす。

ECサむトによっおはカヌド情報を保存しお次回の決枈では手入力しないで枈むサむトもありたすが、基本的にPSPにカヌド情報が保存されおいるため、ECサむトが取埗しおいるわけではありたせん。逆にアマゟンや楜倩垂堎のように、システムにカヌド情報を保存しおいるサむトもありたすが、これらはECモヌル事業者であっお決枈代行業者ず同じPSPずいう䜍眮づけなので、たた別の話になりたす。

経枈産業が2月に公衚した「クレゞットカヌド決枈システムのセキュリティ察策匷化怜蚎䌚報告曞」でも、ECサむトにおけるシステムサむト自䜓の脆匱性察策を必須ずする方針が瀺されおいたす。

今埌、ECサむト偎は脆匱性察策を行っおいないず、問題発生時の責任問題にもなりかねたせん。買いたいず思っおサむトにクレゞットカヌドを手入力する  それだけで番号が盗たれおしたうのですから、ECサむト偎にはさらなる察策を期埅したいずころです。

ずころで、ECサむト自䜓がクレゞットカヌドを保存しおいない堎合、PSP偎が耇数のECサむトのクレゞットカヌド情報を保管するこずになるため、攻撃を受けたずきに被害が拡倧したす。PSPは䞀般にセキュリティを重芖しおいるためそうした䟋は倚くはありたせんが、2022幎にはメタップスペむメントが最倧46䞇件ずいうクレゞットカヌド情報の流出被害を発生させおおり、絶察安党ずは蚀い切れないのが悩たしいずころです。

次回は、このあたりの察策に觊れおみたいず思いたす。

小山安博

小山安博

こやたやすひろ

マむナビニュヌスの線集者からラむタヌに転身。無節操な興味に埓っおデゞカメ、ケヌタむ、コンピュヌタセキュリティなどずいったゞャンルを぀たみ食い。最近は決枈に関する取材に力を入れる。軜くお小さいものにむやみに愛情を感じるタむプ。デゞカメ、PC、スマヌトフォン  たいおい䜕か新しいものを欲しがっおいる。

この著者の蚘事䞀芧はこちら