EC/通販事業者が今知らなければならない|クレジットカードに対するセキュリティ対策


こんにちは、株式会社リンクでセキュリティプラットフォーム事業部責任者としてクレジットカードのセキュリティ基準であるPCI DSSの普及に取り組んでいる滝村と申します。今回からクレジットカードに関するセキュリティに関するのお話をしていきたいと思います。

*PCI DSSとは、カード加盟店や決済代行事業者などのサービスプロバイダにおいて、カード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界の国際セキュリティ基準です。

クレジットカードセキュリティの基礎

一般社団法人日本クレジット協会の集計によると、年々不正支障の被害額が増加しています。特にEC/通販事業者等の非対面取引においては、漏えいしたカード情報の EC 加盟店における不正使用の伸びが顕著となっており、クレジットカード情報のセキュリティ対策においては、多面的・重層的な対策を講じる必要がある状況です。

このような状況下において、EC/通販事業者は、クレジットカードの情報保護について基本的な事項をしっかり理解することが必要です。実際にどんな情報をまもることを指してクレジットカードセキュリティと言われているのか、またどのようにカード情報が悪意のある第三者に盗まれているのかを解説します。


まもらなければならない|クレジットカード情報とは?

まもらなければならない|クレジットカード情報とは?

ここでいう「まもるべき情報」とは、具体的には国際ブランドのペイメントカード情報になります。国際ブランドとは、American Express、Discover、JCB、MasterCard、VISAなどのことを指します。ペイメントカードとは、国際ブランドのクレジットカード、デビットカードとプリペイドカードを指しています。

カード情報は、大きくは「カード会員データ」と「センシティブ(機密)認証データ」の2つに分けられます。これらは総称して「アカウントデータ」と呼ばれています。

カード会員データは、クレジットカードの表面に記載されている、16桁からなるカード会員番号、有効期限、カード会員名のことを指します。セキュリティの観点から、これらの情報はカード加盟店側で非保持が望ましいとされており、もし通過・処理・保存を行う場合はPCI DSSに準拠すべきということになります。

センシティブ認証データは、PIN(4~6桁の暗証番号)/PINブロック(PINの暗号化コード)、クレジットカード裏面(または表面)の磁気ストライプ情報とセキュリティコードを指します。これらの情報は、加盟店側で保存すること自体が禁止されています。

セキュリティコードは、磁気ストライプに含まれていないのでスキミング対策として有効です。一方でインターネット加盟店では、意図せずアプリケーションのログなどに保存してしまうことがあるので、そこから流出してしまうことがあるので取り扱いには十分な注意が必要です。


クレジットカード情報の流出 – 代表的な手法|SQLインジェクションとは?

クレジットカード情報の流出 – 代表的な手法|SQLインジェクションとは?

昨今インターネット加盟店からカード情報の流出が相次いでいます。ここではカード情報がどのように悪意のある第三者に盗まれているのか?代表的な手法をご紹介していきます。

まず、最も典型的な手法としてあげられるのが、「SQLインジェクション」によるカード情報の抜き取りです。SQLインジェクションとは、ECサイトなどのWebサーバに対して、不正なデータベースコマンドを入力して、データベースサーバに保存されている情報を抜き取るという方法です。

なお、この手口によるカード情報の盗難は、現在では減少傾向にあります。当時この手口による事件が多発する中、データベースにカード情報を保存していると流出するカードの件数が1~10万件と大規模な事件につながるという認識が広ました。そこでPSP(決済代行事業者)がカード情報の保存を受託するサービスを積極的に推進し、大半の加盟店がカード情報を保存しなくなったことが減少の要因となります。しかし未だにSQLインジェクション攻撃によるカード情報の流出事件はなくなりません。古くからのインターネット加盟店がPSP(決済代行事業者)のこのサービスに移行しないことが、その原因とされています。



クレジットカード情報の流出 – 代表的な手法|バックドアによる攻撃とは?

クレジットカード情報の流出 –  代表的な手法|バックドアによる攻撃とは?

次に、バックドアによるカード情報の詐取の手口を紹介します。バックドアとは、本来はIDやパスワードによって操作するWebサービスやコンピュータの機能を正規の権限者に隠れて無許可で使用させるために仕掛けられた「裏口」の通信接続のことをいいます。

このバックドアをECサイトなどの決済を行うWebサイトのカード決済画面やアプリケーションサーバに潜ませることにより、カード情報を悪意のある第三者のサーバにも送信することができます。特徴的なのは、カードの決済情報は通常通りPSP(決済代行事業者)にも送られているため、決済は正規に完了します。そのためカード情報の流出に気付かず、長い期間に渡ってカード情報が流出し続けるということが多いです。しかし保存されている過去のカード情報を抜き取られる前述のSQLインジェクション攻撃と比較してカード情報の流出件数は少なく、1回の事件あたり数千件というケースが多いのが特徴となります。


クレジットカード情報の漏洩 – カード情報盗難の事例|POSマルウェアとは?

クレジットカード情報の漏洩 – カード情報盗難の事例|POSマルウェアとは?

最後に、現在米国で急増中のPOSマルウェアによるカード情報盗難の事例を紹介します。米国の小売りチェーンTarget事件や世界的なホテルチェーンのハイアットなどでの被害手口です。それらの複数の事件により、全米の POS 加盟店で約1億件のカード情報が流出していると言われており、また日本でも大手ホテルで2016年1月、対面の支払いに使われたカード会員データに不正アクセスの可能性があったことが確認されています。

POSマルウェアは、加盟店の店舗内のPOSマシンで使用しているネットワークと接続しているネットワーク(Wi-Fiなど)を利用しているPCなどから感染し、POSマシンやストアサーバからカード情報を検索し、外部に不正に送信を行います。

特にRAMスクレーパーといわれている種類のPOSマルウェアは、POSマシンやストアサーバのRAMすなわちメモリ内のカード情報を抜き取るという動きをします。POSマシンのほとんどの機種がHDDの暗号化はされていますが、内蔵される磁気リーダでカード情報を決済処理する際、メモリの中に必ず平文でカード情報を展開します。このメモリに展開されたカード情報を検索して抜き取り、不正に外部に送信するというわけです。

よくPOSシステムは独自システムだからウィルスには感染しないと誤解されていることが多いのですが、日本国内におけるPOS OSの最大シェアはWindows Embeddedです。POSマシンやATMなど特殊用途向けのWindowsですがカーネルなどは同じものを使用しているため、一般ユーザーの使っているWindows同様にマルウェアに感染してしまう可能性があるのです。またオフィス用のPCと違い頻繁にセキュリティパッチをあてる慣習はどの店舗もほとんどないため、オフィスよりもマルウェアに感染する可能性は高いと言えます。



実行計画2017と改正割賦販売法

2017年12月に「改正割賦販売法」が公布され、クレジットカードを取り扱う加盟店において、カード番号等の適切な管理や不正使用対策を講じることが義務づけられることになりました。

また2017年3月には「クレジット取引セキュリティ対策協議会」が開催され、2020年に向けて国際水準のクレジットカード取引のセキュリティ環境を整備するため、クレジットカード会社や加盟店をはじめとする各主体が講ずべき措置を取りまとめた「実行計画2017」として策定、発表されています。「実行計画2017」を受けて、EC加盟店/通販事業者等、カード情報を取扱う各事業者は、カード情報の非保持化またはPCI DSS 準拠を行う必要があります。


EC/通販事業者はまず、自社におけるクレジットカード情報の取扱及びセキュリティ対策状況について、しっかり確認してください。

■参考サイト
クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017
http://www.meti.go.jp/press/2016/03/20170308003/20170308003.html


リンクでは、コンサルティングサービスのご提供及びPCI DSSに関するセミナーを随時開催しています。個別相談会を随時開催しておりますので、ご興味がございましたら是非ご参加ください。

カードセキュリティ対策やPCI DSSに関する最新動向:http://pcireadycloud.com/blog/
お問い合わせ:https://pcireadycloud.com/users/system/exe/pci_inq_form.php