EC事業者が知っておきたいクレジットカード情報漏えい対策の基礎知識

ECサイトの運営に欠かせないセキュリティ対策について解説しています。クレジットカード情報漏えい事故や不正利用は増加傾向にあります。本コラムではECサイトでのクレジットカード不正利用の動向、ECサイトが行うべきセキュリティ対策をご紹介しています。

ネット利用が普及し生活が便利になる一方で、日々、多くのECサイトでクレジットカード情報漏えい事故が起こっています。ECサイトの担当者へのアンケートによると、49.1％が「ECサイトに対してサイバー攻撃を受けたことがある」と回答しています。

ECサイトの立ち上げを検討している担当者は、ECサイトの最も大きいセキュリティリスクである「クレジットカード情報の漏えい対策」を行うべきです。万一、クレジットカード情報が流出すると、サイト閉鎖の可能性もある重大なリスクです。

1．多発するEC事業者のカード情報漏えい事故の事例

最近報道されたクレジットカード情報漏えい事故をいくつかご紹介します。

ECサイトのクレジットカード情報漏えい事故の例

直近の短い期間だけでも、多様な業種のECサイトでクレジットカード漏えい事故が起きています。適切なセキュリティ対策・管理をしなければ自社でも起こる可能性があり、他人事ではない問題であることが分かります。

2．ECサイトでのカード情報不正利用 3種類とダメージ

漏えいしたクレジットカード情報はどうなるかご存知ですか？ ECサイトから不正に盗まれたお客様のクレジットカード情報は不正に利用される、または闇サイトで売買されます。

ECサイトで取り扱う個人情報は名前、住所、電話番号、メールアドレスなどがありますが、特にクレジットカード情報（カード番号、カード会員名、有効期限、セキュリティコード）が漏えいすると、クレジットカード情報の不正利用による深刻な被害を引き起こします。

ECサイトでクレジットカード情報が悪用されるケースを3つ紹介します。

■ECサイトでクレジットカード情報が悪用されるケース

1.換金目的の高額商品の購入
犯人は盗んだクレジットカード情報で、家電、ジュエリー、航空券、高級ブランドなどの高額商品をECサイトから購入し、商品を転売し換金します。

2.不正トラベル
犯人は旅行代理店になりすまします。旅行者が犯人に旅行を申し込み、旅行代金の支払いをします。犯人は別途不正に入手しておいたクレジットカード情報を使用して、正規の旅行事業者に手配を行います。これによって、犯人は旅行サービスの支払い金を詐取します。

3.小額の商品の購入
ここ数年で目立ってきたケースです。盗んだクレジットカード情報で1万円以下の小額の商品を狙って購入します。毎月のクレジットカード明細書をチェックする消費者が少ないため、不正利用だと気づかれにくい手口です。また、カード会社の監視の目をかいくぐってしまう可能性もあります。

クレジットカード情報の漏えいは、大切なお客様がこのような深刻な犯罪に巻き込まれる重大な問題です。

カード情報漏えいと不正利用がEC事業者へ与える影響

■クレジットカード情報が漏えいしたECサイトのリスク 6種類

1.ECサイトの閉鎖
カード情報が流出した場合、カード決済の停止やサイトを一時閉鎖するなどの措置がとられます。次で説明する「フォレンジック調査」によって流出原因の調査、原因の特定と応急処置、必要なセキュリティ対策が完了するまでビジネスの再開は認められません。

2.フォレンジック調査の費用
「フォレンジック調査」は漏えい発生に際し、原因特定や被害範囲特定を行うための調査です。カード会社との加盟店契約において、加盟店は漏えい事故が起きた際の調査が義務付けられています。特定の専門機関への調査依頼が必要となり、調査費用は数百万円から1000万円程度が見込まれます。

3.対象顧客への報告とお詫びの対応と費用
お客様へのお詫び対応のデスク設置やクレジットカードの差し替え費用、お詫び金などが発生します。

4.社会的信頼の失墜
監督庁への報告がマスコミの報道や、ネットでの情報掲示でネガティブ情報として取り上げられる可能性があります。企業の社会的信頼が薄れ、株価が下落します。顧客に不安を与え、顧客離れが起きます。

5. 訴訟リスク
クレジットカード情報が流出した結果、損害を被った企業や消費者から訴訟を受ける可能性があります。損害賠償責任を負うだけでなく、訴訟にかかわる費用や、訴訟の対応に要する手間と時間はECサイト事業者にとって大きな負担となります。

6.行政指導が入るおそれ
クレジットカード情報が流出した場合、事件・事故として監督官庁に報告することになります。割販法により、当局からの立ち入り検査などの行政指導等を受ける可能性があります。

■クレジットカードを不正利用されたEC事業者のリスク

チャージバックの費用負担
「チャージバック」とは、不正使用があり、クレジットカードの持ち主が支払いに同意しない場合に、クレジットカード会社が売上を取消しすることです。ECサイト事業者はクレジットカード会社に購入代金を返金しなければなりません。さらに、犯人に商品を提供してしまっていれば商品が戻ってくる可能性は低いです。

3．中小ECサイトでのクレジットカード情報漏えいは年々増加

このようにECサイト事業者に多くの損害を与えるクレジットカード情報漏えい事故ですが、被害額は年々拡大しています。

クレジットカード情報不正利用の被害額の推移

2003年以降減少傾向だった不正利用の総被害額ですが、ECの拡大に伴い2013年から増加し、2017年の被害額は2013年の約3倍に急拡大しています。

クレジットカード不正利用の手口の内訳では、偽造カードによる実店舗での不正利用額は2008年から減少傾向なのに対し、ECサイトでのクレジットカード番号盗用による被害額が急激に増加しています。

IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2019 (消費者における脅威)」の1位は「クレジットカードの不正利用」でした。このように、クレジットカードの不正利用は社会的に最も影響が大きいセキュリティ上の脅威となっています。

情報セキュリティ 10大脅威 2019「個人」

＞＞出典：IPA(情報処理推進機構)『情報セキュリティ10大脅威　2019』
https://www.ipa.go.jp/files/000072668.pdf

■ECサイトを狙ったサイバー攻撃に関する調査結果

ECサイトの構築・運用・セキュリティの実務担当者へのアンケートによると、49.1％が「ECサイトに対してサイバー攻撃を受けたことがある」と回答しています。

攻撃手法については、「OSの脆弱性を突く攻撃（23.6%）」、「ミドルウェアの脆弱性を突く攻撃（18.6%）」、「ウェブアプリケーションの脆弱性を突く攻撃（12.9%）」と数多くの企業がECサイトの脆弱性を狙った攻撃を受けていることが分かりました。

＞＞出典：トレンドマイクロ『企業におけるECサイトのセキュリティ実態調査 2016』
https://www.trendmicro.com/ja_jp/about/press-release/2017/pr-20170131-01.html

4．クレジットカード不正利用被害増加の理由

ECの市場拡大にともない、セキュリティ対策が甘い中小ECサイトが増加し、それを狙ったサイバー攻撃が活発化しています。その結果、クレジットカード情報が窃取され、クレジットカード情報が不正利用されたり、闇サイトで売買されています。

セキュリティ対策が甘い中小ECサイトの増加

インターネット技術の発展により、中小企業や個人事業主でもECサイトを簡単に立ち上げることができるようになりました。そのため、不正被害リスクを認識せず、セキュリティ対策を行っていないECサイトが増加し、クレジットカード情報漏えいのターゲットが拡大しています。

5．ECサイトを狙ったサイバー攻撃 4種類

ECサイトを守るために注意したいサイバー攻撃「ECサイトの脆弱性をついた攻撃」と「アカウントの乗っ取り」をご紹介します。

■ECサイトの脆弱性をついた代表的な外部攻撃

1.SQLインジェクション
アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法です。

2.XSS（クロスサイトスクリプティング）
他人のWebサイトへ悪意のあるスクリプトを埋め込み、ユーザーがお問い合わせフォームを送信した際に問い合わせ情報を抜き取る、またはサンクスページを悪質なサイトに入れ替える攻撃です。

3.ゼロデイ攻撃
ソフトウェアのセキュリティ上に発見された脆弱性を悪用する攻撃です。メーカーや研究者から問題が公表され、修正プログラムが公表される前に攻撃します。

■アカウントの乗っ取り

Webサーバにリモートアクセスできる管理用アカウントの情報を窃取し、管理者になりすまし改ざんします。
アカウント窃取の方法は脆弱性攻撃、フィッシング詐欺などが挙げられます。また、組織内のネットワークに侵入し、管理用のPCを乗っ取って改ざんを行う方法もあります。

6．ECサイトが行うべき３つのセキュリティ対策

このように深刻なダメージを受けるサイバー攻撃からECサイトを守るために必要な3つのセキュリティ対策を紹介します。

1.クレジットカード情報非保持化

「クレジットカード情報の非保持化」とは、クレジットカード情報を自社のECサイトのサーバやネットワークなどの環境にて「通過」させない、「保存」しない、「処理」しないことを指します。自社のECシステム内ではクレジットカード情報を一切扱わず、クレジットカード決済を十分なセキュリティ対策がされている決済サービスへ委託します。

決済サービスとの接続方式には「トークン型接続方式」、「リンク型接続方式」の2種類があります。

(1)トークン型接続方式
クレジットカード情報を暗号化された文字列(トークン)に置き換えて決済処理します。

クレジットカード情報は購入者のブラウザから直接決済代行会社に送信され、ECサイトとのクレジットカード決済処理は暗号化されたトークンで実施されるため、クレジットカード情報がECサイトのサーバを通過することなく安全に決済ができます。

(2)リンク型接続方式
支払い時に決済代行会社のサーバ上の決済ページを使ってクレジットカード情報を入力する決済サービスです。カード情報保有リスクがなく接続方式の中で最もセキュアに決済が完了します。ECサイトから決済画面へのリンクを設定するだけで導入できるため、比較的スピーディーかつコストをかけず対応可能です。

【参考】PCIDSS準拠について

クレジットカード情報を「保存、処理、または伝送する」ECサイトは、年間のカード取引量に応じて、PCI DSSに準拠する必要があります。

PCIDSSは、加盟店などが、クレジットカード情報を安全に取り扱うために策定された、クレジットカード業界のセキュリティ基準です。「PCIデータセキュリティスタンダード(Payment Card Industry Data Security Standard)」の略称で、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)が運営しています。

PCIDSSに準拠するには、多額の費用と工数が必要で、中小ECサイトにとっては現実的ではありません。そこで多くの事業者が選択しているのは、クレジットカード決済をPCIDSS準拠事業者に委託する方法です。PCIDSS準拠事業者と提携し、「クレジットカード情報の非保持化」を行えば、クレジットカード情報の保護に対応したとみなされます。

PCIDSSについては下記のコラムで詳しく説明しています。

＞＞クレジットカードを扱う店舗・ECサイトが知っておきたい「PCIDSS」の基礎知識
https://www.veritrans.co.jp/payment/creditcard/

2.クレジットカード不正利用対策

クレジットカード決済のセキュリティ対策では下記の4点が重要になります。

(1)本人認証(3Dセキュア)・券面認証(セキュリティコード)
本人認証は、カード保有者がカード発行会社に事前登録したインターネット取引専用パスワードを使うことでカード所有者であることを確認し、第三者によるカードの不正使用を防止します。

券面認証は、カード券面に記載の3～4桁の数字をウェブ上で入力することで、不正使用を防止します。

ベリトランスは、本人認証・券面認証による安全性の高いクレジットカード決済サービスを提供しています。
＞＞VeriTrans4G　クレジットカード決済
https://www.veritrans.co.jp/payment/

(2)配送先情報判別対策
過去の不正配送先を蓄積することで不正取引の判断材料に活用します。属性・行動分析と組み合わせて精度を上げることも可能です。過去の不正配送先情報を提供するサービスもあり、これらの活用も有効です。

(3)不正検知サービスの導入(属性分析)
過去の取引情報等に基づいたリスク評価によって不正取引を判定します。デバイス情報や通信情報など各種情報を組み合わせることで不正検知の精度も向上できます。

決済代行会社やベンダーが提供する不正検知サービスを導入することも有効です。ベリトランスでも不正被害・チャージバックリスクを高い確率で抑止できる不正検知サービスを4種類提供しています。
＞＞不正検知サービスラインナップ
https://www.veritrans.co.jp/payment/fraud_detection.html

(4)発送前の目視チェック
怪しいと思われる取引、例えば「新規購入者かつ高額注文」、「特定の注文商品」や「大量購入」などの条件で注文を抽出し、氏名、住所、メールアドレスなどを目視することも有効です。

3.ECサイトの脆弱性対策 5種類

不法侵入・書き換えの被害を防ぐためのECサイトの脆弱性対策について説明します。

(1)WAF、IDS／IPSなどのセキュリティソリューションを導入する

(2)システムやOS、ミドルウェアのアップデート
古いバージョンを使っていると、そのバージョンの脆弱性を狙った攻撃が仕掛けられる可能性があります。

(3)ID・パスワードの管理を徹底する
ID・パスワードなどを保存した重要なファイルを、サーバにアップすることは厳禁です。特定されにくいパスワード・使い回しのない固有のパスワードを設定します。

(4)社員へセキュリティ教育を行う
サイバー犯罪の脅威とリスク、その対策を知り、具体的なシステムや業務の運用手順書の遵守を実施するために、社員への教育が必要です。

(5)セキュリティ対策の有効性を確認する
自社で行っているセキュリティ対策が適切であるか、脆弱性の有無やセキュリティの問題点を定期的にチェックすることをおすすめします。

ベリトランスのグループ会社、ナビプラスが提供しているセキュリティサービスを紹介します。

＞＞脆弱性診断サービス「SCT SECURE」
https://www.veritrans.co.jp/ECservice/assessment.html
ECなどWEBサイトの脆弱性をチェック・報告します

＞＞gred Web 改ざんチェック
https://www.veritrans.co.jp/ECservice/gred.html
初期費用0円! URL登録だけでWebサイトの改ざんを検知

7．まとめ

ECサイトがサイバー攻撃を受け深刻な被害を受ける事故が多発していること、その防止のために必要なセキュリティ対策についてお伝えしました。

ベリトランスではECサイトのセキュリティ強化を含めたEC総合支援を行っています。ECサイトを立ち上げる際のセキュリティ対策をしたい方は、ぜひご相談ください。