この記事はクレジットカード情報を取り扱う事業者様、ECを運営している事業者様に向けた記事になっております。
目次
クレジットカード情報漏えいによる不正被害額の推移
2022年9月に一般社団法人日本クレジット協会からに2022年上半期のクレジットカード不正利用被害額の推移が発表されました。
同協会はクレジット業界の総合団体となっており、消費者保護の観点からセキュリティ環境の整備を推進するためにも定期的に不正利用被害額の調査を行い、集計値を公開しています。
一般社団法人日本クレジット協会について>>
同協会が発表した2022年1月から6月までのクレジットカード不正利用被害総額は206億円となっており、前年の同月より約51億円も不正利用額が増えている結果になりました。
不正方法の内訳は以下の3点となっております。
1.偽造カードによる不正利用
2.番号盗用による不正利用
3.その他の不正利用
クレジットカード不正利用被害の集計結果について 一般社団法人日本クレジット協会>>
上記の表で着目すべきポイントとして、「番号盗用被害額の増加」が挙げられます。
少し前に話題になったスキミングなどによる偽造カードによる不正利用はここ数年で減少傾向にあり、前年の同期間と比較しても50%以下まで減少しております。
現在において最も狙われている不正利用の手口は「非対面でのカード決済」いわゆるインターネットサービスやECにおけるカード決済の際に発生している「クレジットカード情報漏えいによる番号盗用」です。
番号盗用被害額は前年同期間と比較して約33%の約48億円も増加し、過去最高の被害額が記録されております。
2022年度のクレジットカード情報漏えい事例
2022年も8月に発生したショーケース社が提供する画面最適化サービスの脆弱性を突いたクレジットカード情報漏えい事件が話題になりました。
上記だけでなく2022年でもクレジットカード情報の漏えい事件は後を立ちません。
2022年8月4日に経済産業省より発表された最近の主な漏えい事案では漏えいする場面は以下の4つにまとめられています。
ECサイト事業者(加盟店)
特にオープンソースにより構築され、自社(委託先含む)で適切なアップデートを行わないなど、十分なセキュリティ対策を講じていないECサイトの脆弱性を狙った不正アクセス等による漏えい事案が増加。クレジットカード番号等を保持していなくとも、ECサイト自体が改ざんされることで、不正ファイルの設置や偽の決済サイトへの誘導でクレジットカード番号等が流出。
ECシステム提供者
ECサイトでの漏えいは、決済モジュールを含むECサイトを構築・運用する事業者のサーバーへの不正アクセスを起因とするものも発生。この場合、一事案であっても、漏えいの規模が広くなる(関連するECサイトは約9事業者)。
決済代行業者
クレジットカードの決済代行業者の大量の情報を保有するデータベース(約46万件のクレジットカード番号等を含むトークン方式クレジットカード決済情報データベース、約240万件のクレジットカード番号等が含まれる決済情報データベース)への外部からの不正アクセスにより、同社が運営する複数の決済サービスにおいて、決済情報の大規模な漏えいが発生。令和2年法改正後、初めての事案。
消費者(フィッシング被害)
サイバー攻撃によるクレジットカード番号盗用以外にも、消費者自身が偽サイトにクレジットカード番号やID・パスワード等を入力するフィッシングによるクレジットカード番号等の漏えい事案も存在。
本項目で紹介したショーケース社のケースは「ECシステム提供者」にあてはまります。しかし、この4つの中で最も増加傾向にあるのは「ECサイト事業者(加盟店)」による漏えい事件です。
ECサイトでのサイバー攻撃によるクレジットカード番号漏えい事案は約2割増加(うちオープンソース関連は、約4割増加)となっております。
最近の主な漏えい事案 経済産業省 商務・サービスグループ商取引監督課>>
3.情報漏えい事件が減少しない背景
今年に入ってすでに数十件以上の企業の個人情報漏えい事件(クレジットカード情報漏えい含む)が報道されておりますがなぜ事件は減らないのでしょうか?
以下のことが考えられます。
コロナ禍で事業者のECの新規参入の増加
新規参入の事業者は資金力不足や売上拡大にフォーカスしていることが多く、セキュリティ対策まで予算が割けないケースをよく耳にします。
しかし、攻撃者からするとセキュリティに甘いECサイトは扉を開けっぱなしにしている自宅を見つけた空き巣のようなものです。
攻撃者は「このサイトは新規参入のサイトだから狙わない」などは考えません。「攻撃しやすいサイトを狙う」のです。
既存のEC事業者のセキュリティ対策の認識が不十分
この問題は本当に深刻です。本記事を書いている筆者がEC事業者に「セキュリティと言ったら思いつくものは?」と尋ねると「自社のサイトで不正利用されないこと」と答える状態。EC関連メディアでもセキュリティの項目は「不正注文検知サービス」の話題がほとんどで自分たちが運営するサイトの「情報漏えい対策」の話題はほとんどありません。
あるECサイトに「継続型脆弱性診断サービス secuas(セキュアズ)の無料診断」を利用して頂き、サイトに情報漏えいリスクがあるのを確認して頂いているのにいただいた返答が
「今はまだタイミングじゃないので、ちょっと考えてから使用するか判断します。」でした。
目の前にリスクが残っているのに放置してしまう認識、「まぁ、うちは大丈夫だろう」という根拠のない認識が情報漏えい件数を減少させられない大きな理由かもしれません。
4.EC事業者必見、情報漏えいしないための対策
多くの事業者が「自分は被害にあわない」「うちのサイトはそんなに大きくないから」という謝った認識のもと情報漏えい対策を放置してしまっています。
前述したように攻撃者はサイトの大小は見ていません。攻撃しやすいサイトを探しているのです。
以下の記事でも記載したように事業規模に関わらず一度被害にあうととんでもない金額の賠償を追うことになります。
漏えいしてから対策では遅いのです。現代においては常に対策を実施する必要があります。
クレジット取引セキュリティ対策協議会はクレジットカード情報漏えい対策のために以下の指針を推奨しています。
クレジット取引セキュリティ対策協議会発表の必須セキュリティ対策
①管理者画面のアクセス制限と管理者のID/PW管理の強化
②データディレクトリの露見に伴う設定の確認
③脆弱性診断またはペネトレーションテストの定期実施
③-1 Webアプリケーションの脆弱性対策
クロスサイト・スクリプティング
SQLインジェクション>>
その他のセキュリティチェックポイント
インフラ/サーバーに対してデフォルト設定のパスワード等を利用しないこと
常にオープンソースなどのソフトウェアを最新のバージョンに保つこと
ファイル整合性監視の導入、運用
IPS(Intrusion Prevention System)の導入
WAF(Web Application Firewall)の導入
【特別公開】セキュリティ・チェックリスト - EC加盟店における基本的なセキュリティ対策- >>
5.まとめ
クレジットカード情報漏えい事件は攻撃者が悪いのは当然です。
しかし、本来事業主がするべきセキュリティの責任を放置していたことで起こることは間違いありません。
不正利用金額増加に伴い、クレジット取引セキュリティ対策協議会は対策のために2022年10月1日よりEC事業者が新規に決済代行会社と契約時に脆弱性診断を必須することを発表しております。
ECサイトを運営する責任としてまずは自社のサイトのリスクの現状を把握して適切な対策を実施してください。
無料診断で自社のサイトリスクを診断する