クレジットカード情報流出は減少傾向、それでも警戒すべき「オンラインスキミング」の脅威【キャッシュレス・セキュリティレポート座談会 第1回】
クレジットカードなどカード情報の流出事件は減少傾向にあるものの、依然として主流の手口はオンラインスキミングです。また、ランサムウェア被害は、暗号化され業務が長期間停止するだけではなく、深刻な情報流出を招くケースも多くあります。
株式会社リンクの滝村享嗣氏、YSコンサルティング株式会社の瀬田陽介氏、かっこ株式会社の小野瀬まい氏の3人が、ECサイトのセキュリティについて考える本シリーズ。第1回は最新の「キャッシュレス・セキュリティレポート」から、EC事業者を取り巻くセキュリティ環境と、求められる対策、そしてなぜ今あらためてECサイトのセキュリティを見直す必要があるのかについて語ります。(全3回)
流出件数は減少傾向に。主流の手口はオンラインスキミング
株式会社リンク 滝村享嗣氏(以下、滝村) 本日は「キャッシュレス・セキュリティレポート2025年10-12月(2026年4月発行)」をベースにEC事業者を取り巻くセキュリティの現状を掘り下げていければと思います。
最初に2025年のクレジットカードなどカード情報流出事件を振り返りたいと思います。「キャッシュレス・セキュリティレポート」によると、2025年の流出事件数は21件、カード情報の流出件数は約25万件となっています。2024年(37件・約54万件)と比較すると減少傾向にあります。この数字をどう読み解くか、お二人のご意見をうかがいたいと思います。
YSコンサルティング株式会社 瀬田陽介氏(以下、瀬田) そうですね。事件数、流出件数のどちらも大きく減少しています。その要因としては、2025年3月に改訂・公表された『クレジットカード・セキュリティガイドライン【6.0版】』(以下、『ガイドライン6.0』)によって、EC加盟店に対し、システムの脆弱性対策が義務化されたことが挙げられます。
2018年6月に施行された「改正割賦販売法」では、加盟店に対し、クレジットカード情報の非保持化、または保持する場合のPCI DSS準拠が求められました。これによって、EC事業者から、保存されたカード情報が大量に流出する事件が少なくなりました。となると、残る手段は、カード情報を送信、処理する過程で盗み取るしかないわけです。具体的には、ECサイトを改ざんして偽の決済画面を表示したり、決済ページそのものにスキミングコードを仕込んで消費者が決済フォームに入力したカード情報を盗み取る、オンラインスキミングという手口が大半を占めているという現状があります。2025年の21件の事件は、19件がオンラインスキミング、残りの1件がランサムウェア、もう1件は不明となっていますが、依然としてオンラインスキミングが多くを占めています。

ECサイトを改ざんして偽の決済画面を表示したり、決済ページそのものにスキミングコードを仕込むためには、管理者用システムに不正ログインをするのが最もシンプルな方法です。以前は管理者のアカウントをIDとパスワードによる認証で運用していたり、デフォルトのIDとパスワードのまま使用していたりというEC事業者もいました。『ガイドライン6.0』によって義務化された脆弱性対策の実装が進み、管理者用システムへの不正ログインが簡単にはできなくなったと思います。
かっこ株式会社 O-PLUX事業部 事業部長 小野瀬まい氏
滝村 業種別では何か傾向はありますか?
かっこ株式会社 小野瀬まい氏(以下、小野瀬) 年間の事件数では「食品」が最も多く、「アパレル」「ホビー」「家電・電子機器・PC」と続いています。「食品」は母数自体が多いこともありますが、最近ECサイトをスタートした事業者が多い業種でもあります。これはあくまで推測ですが、まだセキュリティ対策への優先順位が低い事業者が多いのかもしれません。

滝村 確かに、ECサイトの運営にあたってはどうしても集客や売上に注力しがちで、セキュリティは後回しになりやすいですよね。ECサイトを運用し始めた事業者の方々には、ぜひこの機会に自社のセキュリティ状況をチェックしていただきたいです。
大規模流出を招く「情報保持」のリスク
滝村 2025年は、いくつもの大手企業が狙われるなどランサムウェア(※1)による個人情報流出被害が大きなニュースになりました。クレジットカード情報の流出事件でもランサムウェアによるものは1件ですが、流出したカード情報の件数で見ると、年間約25万件のおよそ半分がこの一つの事件で占められています。ランサムウェアによる攻撃を受けると被害が大きいですね。
※1:データを暗号化して使用不能にし、復旧と引き換えに身代金(Ransom)を要求する悪質なマルウェア
瀬田 ランサムウェアによる攻撃を受けると膨大なデータを抜き取られることがあるため、流出規模が大きくなる傾向はあります。ただ、今回の場合は、ランサムウェアによる攻撃を受けたという以前に、クレジットカード情報を大量に保存していたことが大きな問題だと考えています。
これは、あるスーパーマーケットチェーンで起きた事件ですが、小売業でいくつか見られるケースなので、警鐘を鳴らす意味でも詳しく説明しておきます。
先ほど、EC事業者はクレジットカード情報の非保持化をしなくてはならないという話をしましたが、スーパーマーケットのような対面加盟店も非保持化が義務づけられています。ところが、この事件ではシステムを暗号化されただけではなく、データを窃取されたことにより、約12万件以上のクレジットカード情報が流出しました。
つまりこのスーパーマーケットはカード情報を保持していたということなのですが、本来、カード情報を自社内のシステムに保存するならPCI DSSへの準拠が義務となります。しかし報道を見る限り、この企業が準拠していた事実は確認できていません。
スーパーやデパートに限らず、あらゆる小売業でポイント機能付きの提携クレジットカードを発行することが増えています。決済手数料を抑えられることや購買データを取得するメリットがあります。しかし、ポイント会員の会員番号とクレジットカード番号を紐づけてデータベースに保存されていたり、中にはポイント会員の会員番号としてカード番号を使用しているようなケースもあります。その結果、この事件では約12万件以上の情報が流出してしまったわけです。
株式会社リンク 執行役員 セキュリティプラットフォーム事業部 事業部長 滝村享嗣氏
滝村 保存しているポイントカードの情報にクレジットカード番号が含まれるとすると、PCI DSS準拠が必要になるわけですよね。ただ、スーパーマーケットの全店舗がPCI DSSに準拠するのは簡単ではありません。
瀬田 この場合は、クレジットカード番号については「トークナイゼーション(※2)」を導入して、PCI DSSに準拠するのが現実的な手法だと思います。PCI DSS適用範囲を極小化できるからです。まずはクレジットカード情報を保存しないこと、それができないのであれば、PCI DSSを発行、管理する組織であるPCI SSCのガイダンスに沿ったトークナイゼーションを導入して、準拠するのが実践的な方法になります。
※2:クレジットカード番号や個人情報などの機密データを、ランダムに生成された無意味な文字列(トークン)に置き換える技術
滝村 クレジットカード番号と紐づけてポイントカードの情報を保存している事業者にとって、トークナイゼーションは現実的に取れる手段の一つということに、なりそうですね。
ランサムウェア対策の要となるVPN機器の脆弱性対策
滝村 EC事業者に限らず、あらゆる業種でランサムウェアによる被害も増えています。ランサムウェアによる攻撃を防ぐにはどのような対策が考えられますか?
瀬田 ランサムウェアは、企業のシステムに侵入した攻撃者が、機密情報などのデータやシステム自体を暗号化して使用不能にし、復旧と引き換えに身代金を要求するという手口です。なお、データを暗号化できるということは、攻撃者がシステムに特権でアクセスできているということを意味します。フィッシングにより、システム管理者がIDやパスワード情報を不正に取得されたり、VPN(※3)機器の脆弱性を突いて侵入されることが原因として挙げられます。
※3: Virtual Private Networkの略。インターネットなどに接続している利用者の間に仮想的なトンネルを構築し、プライベートなネットワークを拡張する技術。VPNを利用すれば、通信経路を認証や暗号化を用いて保護するため、第三者が侵入できない安全なネットワークを構築できる
VPN機器に脆弱性がある場合は、認証を容易に突破してネットワーク内に入れます。一度侵入を許してバックドアを作られると、その後は認証もなく自由に出入りできるようになってしまいます。
では、どのような対策をとればいいのか、大きく3つ挙げます。
1つ目は、多要素認証を設定する。
不正アクセスを防ぐには多要素認証の導入が有効ですが、その設定をしていないと侵入のリスクは非常に高まります。実際に、ログイン可能なVPN機器のIPアドレスと実際のIDとパスワードが、ダークウェブ(※4)に公開されていることがありました。多要素認証はパスワードに加えて、所持しているデバイスによる認証や生体認証を組み合わせる方式なので、公開されたパスワードだけでは不正ログインができなくなります。
※4:一般的な検索エンジンなどでは表示されず、アクセスするために専用のツールやブラウザを必要とするWebサイト。匿名性が極めて高く、流出した個人情報の売買や違法薬物・武器の取引などが行われるサイバー犯罪の温床となっている
2つ目は、VPN機器の脆弱性を確実に修正する。
クライアントPCやサーバーのセキュリティパッチ適用は頻繁に行っていても、VPN機器などネットワーク機器には頻繁に適用していないケースが多くあります。VPN機器もクライアントPCやサーバーと同じ頻度でアップデートする必要があります。
3つ目は、脆弱性の報告が多いメーカーのVPN機器は使用しない。
特定のメーカーを批判するわけではありませんが、脆弱性が発見される件数が多いメーカーがあります。もちろんマーケットシェアの要素もあるので、メジャーな機器ほど多く脆弱性を指摘される傾向はあります。これからVPN機器を導入する必要がある場合、脆弱性情報が多く報告されている機器は避けるのが無難です。実際の機器の脆弱性の情報は、脆弱性対策情報データベース『JVN iPedia』に掲載されていますので、ぜひ参考にしていただければと思います。
滝村 VPN機器の他にも、対策すべきことはありますか?
瀬田 PCやサーバーにEDR(※5) を導入することを強く推奨します。
最近のランサムウェアはかなり高度化していて、従来のマルウェア対策ソフト(EPP ※6)では検知できないケースが多く、EPPだけで防ぐのは難しいかと思います。EDRが入っていれば、マルウェアなどの不審な動作を検知や隔離できるので、被害が全社に拡大する前に止めることが期待できます。EDRはコストが高いイメージが持たれがちですが、Microsoft Defender for Endpointのように比較的リーズナブルなサービスもありますので、導入を進めておくべきだと思います。
※5:Endpoint Detection and Responseの略。 PCやサーバーなどのデバイス内の挙動を常時監視し、不審な動作(マルウェアの実行、不審な通信)を検知したり、隔離するセキュリティ製品やサービス
※6:Endpoint Protection Platformの略。PCやスマホなどのデバイスにおいて、マルウェアをパターンファイルを用いて検知するセキュリティ製品やサービス
YSコンサルティング株式会社 代表取締役/コンサルタント 瀬田陽介氏
瀬田 ただし、どれだけ対策をしても、完全にランサムウェア攻撃を止めることはできません。非常に高度な手口に対しては、防げないことがあるので、侵入やランサムウェアの実行を許してしまった場合のことも考えておくべきです。そこで最も効果を発揮するのがデータのバックアップと暗号化です。
定期的にデータバックアップがされており、そのバックアップデータがランサムウェアにより暗号化されていなければ、身代金を払わずにシステムを復旧することが期待できます。また流出したデータが攻撃者の手に渡っても、自身で暗号化していれば情報自体の暴露は防げます。これが多くの企業が行える対策として、最も実践的ではないでしょうか。
中小規模の会社の中には、自分たちは狙われるほど価値がある情報がないので大丈夫と思っている方もいらっしゃるかもしれませんが、実際はそうではありません。ニュースにならないものも多くあり、中小規模の会社も多く被害を受けているのが現状です。攻撃者にとっては企業の規模は関係なく、データを人質にして身代金が取れればいい、という考え方です。そのため、侵入が容易なシステムを狙ってきます。
ランサムウェア攻撃は、規模を問わず全ての企業が対策を取っていかなくてはいけない時代になっている、ということをぜひ認識していただきたいです。
まとめ
クレジットカード情報の流出件数は減少傾向にあるものの、EC事業者を取り巻く脅威が解消されたわけではありません。オンラインスキミングの被害は続いており、さらに、ランサムウェアによる攻撃は情報漏えいの規模を一気に拡大させかねません。被害が減少傾向にある今こそ、対策の手を緩めず、備えを一段引き上げることが求められます。
―――――
●次回予告
第2回は、不正利用被害の抑止策として導入が進むEMV 3-Dセキュアをテーマに、被害減少の背景とその裏で見えてきたEC運営上の課題について語ります。


