2021.01.19 05:06:42
コンサルティング
クレジットカードの情報漏洩が与える影響と対策

クレジットカード情報漏洩事故が与える影響
情報漏洩事故のニュースがもはや当たり前に聞こえてくる時代になっていますが、その中でも特にクレジットカード情報の漏洩事故が与える影響は非常に大きいものです。
クレジットカード番号に加えて非対面取引(ネットショッピングなどクレジットカードに記載されている情報を入力する方式)で使用されるセキュリティコードが漏洩するケースもあり、不正利用が行われた後にカード会社から、加盟店や利用者への連絡で気付くケースが大半です。
なぜクレジットカード情報が狙われるのか
クレジットカードは現金に変わる決済方法として、交通系ICやQRコード決済に代表されるキャッシュレス決済のチャージ方法として、また昨今では若年層を中心に限度額を限定したプリペイド方式でかつカードレスアプリ型のものも含め、一般的な決済手段として広く普及しています。
昔はスキミングに代表されるクレジットカードの偽造や、盗難といったカード券面そのものに起因する漏洩や不正利用が多かったのですが、インターネットやスマートフォンの普及、クレジットカードのICチップ化が浸透すると共に、カード番号やセキュリティコードなど券面に記載されている情報へ、漏洩や不正利用のトレンドがシフトしています。
カード番号やセキュリティコードなどの券面情報だけで決済ができるため、利便性が飛躍的に向上した反面、電子データ化されデータベースに一元的に保存された情報に不正にアクセスを許せば、数千〜数万といった大量のデータ漏洩事故に繋がるリスクを抱えています。
クレジットカード決済においては、対面でしか使えない券面そのものを狙うより、ECサイトで手軽に利用可能な券面情報を盗み取る方が、犯罪者にとっては効率的で危険が少なく、様々な手口でそれとわからないよう、狡猾に攻撃の手を増やしています。
カード情報を盗み取るフィッシングサイトに誘導するため、カードブランド、メガバンク、大手ECサイトの名を語るスパムメールなどは、身近な攻撃の最たる例でもあります。
ではどう対策をしていくのか
クレジットカード情報が常に狙われる昨今、クレジットカードブランド側も被害を抑えるために対策を講じています。クレジットカードブランド5社(VISA、Master、JCB、AMEX、Discover)は【PCI DSS】という「加盟店(カードが使えるお店)やサービスプロバイダ(カードビジネスを提供する会社)が対応すべき、クレジットカード会員データを安全に取り扱う事を目的としたクレジットカード業界のセキュリティ基準」を策定、公開しています。

PCI DSSで強固なセキュリティ対策を実現
【PCI DSS】基準は、他のセキュリティ規格(ISMSやPMSなど)に比べ、要求事項が具体的でテクニカルな実装方法まで細かく定義されているという特徴があり、【PCI DSS】の内容に沿い実装を行う事で、強固なセキュリティ対策を実現する事が出来ます。
また、クレジットカード決済のトランザクション数が一定数を超える加盟店と、サービスプロバイダに対しては【PCI DSS】への準拠がカードブランドにより要求され、毎年その基準をクリアしていることを所定の方法で報告しなければ、クレジットカード決済を行う事が出来ません。
「非保持」の誤解から情報漏洩も頻発
ただし、日本国内においては「(クレジットカード情報の)非保持」という概念を経済産業省が公開しており、業界規格である【PCI DSS】と国の方針である「非保持」とが混在し、特に加盟店においてはセキュリティ対策を講じなくても良い、といった誤解から有効なセキュリティ対策が実装されていない一部の加盟店(主にECサイト)が狙われ、セキュリティコードを含むクレジットカード情報漏洩に繋がる事態が頻発しています。
関連記事:非保持は対応不要?PCI DSS準拠と対応要件ガイド
PCI DSS 勉強会開催|2021年2月18日(木)14:00~
クレジットカードのセキュリティ対策についてお問い合わせを頂く事も多くなっている背景から、マキナレコードで開催する次回のセキュリティ勉強会は【PCI DSS】をキーワードにクレジットカードセキュリティをテーマとしてお話させて頂きます。
ご興味のある方は是非ご参加をお待ちしております。