SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Column

「カード情報漏えい対策」で遅れる日本──Webスキミングの横行を許している原因とは

【前編】最新の「PCI DSS」が示す、Webからの情報漏えい対策の世界水準とは?


 2022年3月にカード情報保護に関する国際基準「PCI DSS」の最新バージョン 4.0がリリースされた。本来、クレジットカード情報を扱うすべての事業者が遵守すべきこのセキュリティコンプライアンスでは、Webサイトからのカード情報漏えい対策、とりわけ「Webスキミング」への対策が要件に追加された。Webスキミングは、Webサーバー側で取られている防御策の穴を狙った攻撃手法だ。しかし、カード情報だけでなく、個人情報や認証情報も盗みとるこの攻撃に対策をとっているサイトはまだ少ない。本稿では2回に分けて、深刻度を増すWebスキミングの実態と、世界から周回遅れとなっている日本の対策の現状。そして、検討すべき予防策について解説する。

2022年に日本で起きた、Webスキミングによるクレカ情報の漏えい

 パンデミックによる行動制限を経て、オンライン決済は社会により広く浸透した。特にクレジットカード決済はECサイトだけでなく、製造業の直販サイトやインフラ、行政など様々なサービスで主要な決済手段として利用されているほか、ここ数年で普及したQRコード決済とも紐づけられている。

 その反面、カード情報の不正利用が深刻な社会問題となっている。日本クレジット協会の統計によると、2021年のクレジットカードの不正利用被害額は、330億円超。2022年は1〜9月期で309億円と年々増加しており、2023年は400億円と、実に月30億円以上の被害が出る可能性が指摘されている

 犯罪者はカード情報を入手するために様々な手段を用いるが、特に「Webスキミング」は、カード裏面に記載されている「セキュリティコード」を含むクレジットカード決済に必要な情報を一度に盗みとることができるため、国内の漏えい事件でも主要な攻撃手法である。漏えい被害の発表文に「セキュリティコードの漏えい」と「決済アプリケーションの改ざん」というキーワードが含まれていれば、Webスキミングによるものと考えて良いだろう。2022年に公表されたWebスキミングが原因と考えられる被害は、手元の簡単な集計で46件、累計で最大約30万件(件数非開示のケースを含まず)のカード情報が漏えいしたと考えられる。

2022年に公表されたWebスキミング被害
2022年に公表されたWebスキミング被害
[画像クリックで拡大]

 2022年の被害報告の特徴は、カード情報だけではなく、サイトを利用する顧客の個人情報の漏えいが同時に報告されるケースが多くなったことだ。中には約15万件以上が漏えいしたケースもある。

 もう一つ注目したいのは、サードパーティーがJavaScriptベースで提供していたWebページの表示最適化サービスが改ざんされた影響をうけ、そのサービスを利用していた11社のサイトからのカード情報流出が明らかになった事件だ。これについては、後ほど詳しく取り上げる。

国際基準「PCI DSS Ver4.0」でアップデートされた“Webスキミング対策要件”

 Webスキミングは、海外でも大きな問題になっている。広く世界に知られたきっかけは、英国の航空会社British Airwaysが2018年9月に公表した約50万人分のカード情報が流出した事件だろう。「Magecart」と名付けられたサイバー犯罪グループによる可能性が高いと言われており、JavaScriptを用いてWebブラウザ上で入力された情報を抜き取る手法は「Magecart攻撃」とも呼ばれた。被害を出したBritish Airwaysは、GDPR(欧州一般データ保護規則)に抵触したとみなされ、最終的に2千万ポンド(2020年当時約27億円)の制裁金が課されている。

 その後、Webスキミングは一般的に用いられる攻撃手法として普及した。その被害を食い止めるため、2022年3月に改訂されたクレシットカード情報を取り扱う事業者が遵守すべきカード情報保護に関する国際コンプライアンス「PCI DSS」の最新バージョン 4.0では、「JavaScriptを用いたWebスキミングへの対策」が強化された。具体的には、要件6.4.3で、「消費者のブラウザに読み込まれ実行される、すべての決済ページスクリプトを管理すること」が、さらに要件11.6.1で、「変更・改ざん検知のメカニズムの実装」が、遵守すべき新要件として加えられている。

PCI DSS 4.0要件6.4.3の内容(抜粋)
PCI DSS 4.0要件 6.4.3の内容(抜粋)
[画像クリックで拡大]

 これらの追加要件は、2025年3月31日までがベストプラクティス、それ以降は必須要件として扱われる。まだ時間があるように思えるが、『新たな基準で監査をパスするには、ドキュメントの整備や設定の変更、運用する組織体制の見直しやシステムへの影響などを考慮すると、今すぐ検討に着手すべき』とガイドされている。

次のページ
「クライアントサイドスクリプト」を用いた、Webスキミング攻撃の仕組み

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Column連載記事一覧

もっと読む

この記事の著者

中西 一博(ナカニシ カズヒロ)

アカマイ・テクノロジーズ合同会社
マーケティング本部 プロダクトマーケティングマネージャー日立グループ全体のセキュリティ設計を担当後、シスコシステムズで、セキュリティ分野のSE、プロダクトマネジャー、製品マーケティングとして従事。現在はアカマイ・テクノロジーズでクラウドセキュリティおよびクラウドコンピュー...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17317 2023/02/10 22:55

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング