2022年に日本で起きた、Webスキミングによるクレカ情報の漏えい
パンデミックによる行動制限を経て、オンライン決済は社会により広く浸透した。特にクレジットカード決済はECサイトだけでなく、製造業の直販サイトやインフラ、行政など様々なサービスで主要な決済手段として利用されているほか、ここ数年で普及したQRコード決済とも紐づけられている。
その反面、カード情報の不正利用が深刻な社会問題となっている。日本クレジット協会の統計によると、2021年のクレジットカードの不正利用被害額は、330億円超。2022年は1〜9月期で309億円と年々増加しており、2023年は400億円と、実に月30億円以上の被害が出る可能性が指摘されている。
犯罪者はカード情報を入手するために様々な手段を用いるが、特に「Webスキミング」は、カード裏面に記載されている「セキュリティコード」を含むクレジットカード決済に必要な情報を一度に盗みとることができるため、国内の漏えい事件でも主要な攻撃手法である。漏えい被害の発表文に「セキュリティコードの漏えい」と「決済アプリケーションの改ざん」というキーワードが含まれていれば、Webスキミングによるものと考えて良いだろう。2022年に公表されたWebスキミングが原因と考えられる被害は、手元の簡単な集計で46件、累計で最大約30万件(件数非開示のケースを含まず)のカード情報が漏えいしたと考えられる。
[画像クリックで拡大]
2022年の被害報告の特徴は、カード情報だけではなく、サイトを利用する顧客の個人情報の漏えいが同時に報告されるケースが多くなったことだ。中には約15万件以上が漏えいしたケースもある。
もう一つ注目したいのは、サードパーティーがJavaScriptベースで提供していたWebページの表示最適化サービスが改ざんされた影響をうけ、そのサービスを利用していた11社のサイトからのカード情報流出が明らかになった事件だ。これについては、後ほど詳しく取り上げる。
国際基準「PCI DSS Ver4.0」でアップデートされた“Webスキミング対策要件”
Webスキミングは、海外でも大きな問題になっている。広く世界に知られたきっかけは、英国の航空会社British Airwaysが2018年9月に公表した約50万人分のカード情報が流出した事件だろう。「Magecart」と名付けられたサイバー犯罪グループによる可能性が高いと言われており、JavaScriptを用いてWebブラウザ上で入力された情報を抜き取る手法は「Magecart攻撃」とも呼ばれた。被害を出したBritish Airwaysは、GDPR(欧州一般データ保護規則)に抵触したとみなされ、最終的に2千万ポンド(2020年当時約27億円)の制裁金が課されている。
その後、Webスキミングは一般的に用いられる攻撃手法として普及した。その被害を食い止めるため、2022年3月に改訂されたクレシットカード情報を取り扱う事業者が遵守すべきカード情報保護に関する国際コンプライアンス「PCI DSS」の最新バージョン 4.0では、「JavaScriptを用いたWebスキミングへの対策」が強化された。具体的には、要件6.4.3で、「消費者のブラウザに読み込まれ実行される、すべての決済ページスクリプトを管理すること」が、さらに要件11.6.1で、「変更・改ざん検知のメカニズムの実装」が、遵守すべき新要件として加えられている。
[画像クリックで拡大]
これらの追加要件は、2025年3月31日までがベストプラクティス、それ以降は必須要件として扱われる。まだ時間があるように思えるが、『新たな基準で監査をパスするには、ドキュメントの整備や設定の変更、運用する組織体制の見直しやシステムへの影響などを考慮すると、今すぐ検討に着手すべき』とガイドされている。
