「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017」が先日発表されました。政府もオリンピックを控え、クレジットカード情報のセキュリティ強化に本腰を入れ始めたようです。
ところが、ECサイトからクレジットカード情報が流出する事故が未だに後を絶ちません。今日はそのことについて考えてみたいと思います。
クレジットカード情報を保護するためのセキュリティ基準として、PCIDSS(Payment Card Industry Data Security Standard)が知られています。JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。一定量以上のトランザクションが発生した企業に対してはPCIDSS準拠が要求されています。現在、PCIDSSの認定を受けている企業の多くは、決済代行会社です。
加盟店側のセキュリティ対策はどうなのでしょうか。大規模な加盟店の中には、PCIDSSの認定を受けている企業もありますが、ほとんど全ての加盟店はPCIDSSを保持していません。プライバシーマークやISMSと比較して圧倒的に要求水準が高いため、全ての要求事項に準拠することは極めて難しいことが理由です。
ところが、加盟店からクレジットカード情報が漏えいした場合に、PCIDSSに準拠していることを自ら示さないと加盟店契約を継続的内場合もあります。ECサイトとしては致命的なダメージです。
そこで、加盟店側はクレジットカード情報を持たないで決済をおこなう仕組み(非保持型)が主流となりました。
ところが非保持型の加盟店からクレジットカード情報が流出する被害も報告されています。
有名な事例としては、大手眼鏡チェーンのJINSのオンラインショップからの流出事故です。
なぜ非保持なのにクレジットカード情報が漏えいするのでしょうか。
実は非保持型にはデータ伝送型とリンク型の2パターンあり、JINSはデータ伝送型を採用していました。
データ伝送型は、入力フォームは加盟店側にあるのですが、そこから直接決済代行会社にクレジットカード情報が伝送される仕組みです。一方リンク型は決済代行会社側の入力画面にリンクしてそこからクレジットカード情報を入力させる仕組みです。
JINSの事件では、ECサイトの入力フォームが改ざんされ(おそらくJava Scriptの組み込み等)、外部の悪意者にクレジットカード情報が転送されていたことが判明しています。この場合カード番号だけなく、セキュリティコードも同時に漏えいしてしまうため、不正利用を容易におこなうことができます。
リンク型の場合は、リンク先のURLが改ざんされる、決済代行会社の入力フォームが改ざんされる等のリスクは残存しますが、データ伝送型と比べるとリスクは低いとされています。
いずれにしろ、予防策としては、ウェブサイトの改ざん検知等の仕組みを導入することが考えられます。
