クレジットカード不正利用被害の増加とPCI DSSの現在位置
最初に、クレジットカード番号の盗難被害について現状を確認してみよう。下図は、日本クレジット協会が発表した、国内発行のクレジットカードの番号盗用による被害額のデータをグラフ化したものだ。2023年を通した被害額は前年比で26%増加し、ついに500億円を超えた。
[画像クリックで拡大]
カード番号の盗用による被害は総被害額の93%を占めており、番号盗難の大部分はデジタル的な手段を用いたものと考えられている。実被害は、カード情報を盗用してサイトで不正な購買をされたEコマース事業者だけにとどまらない。大量のカード情報流出が発覚したサイト側でも、保証請求などの金銭的被害や被害後の対策強化などで、数億から10億円規模のコストが必要になるケースもあるという。
過去の記事で詳しく説明したように、一般的なWebスキミングでは、Webサイト自身や、サードパーティーが提供している流入経路分析などの便利な追加機能に含まれているJavaScriptを改ざんする手法が用いられる。これにより、サイトにアクセスしたユーザーのブラウザに悪性のスクリプトが読み込まれ、ブラウザ内で動作し、フォームに入力された情報などを抜き取る仕組みだ。Webスキミングのようなクライアントサイド攻撃は、Webセキュリティ対策として広く導入されているWAFなどのサーバーサイド防御の仕組みによる検知を回避できるため、攻撃者が頻繁に用いる手法となってきている。
このような背景から、PCI DSS v4.0では、Webスキミング対策を新要件として追加した。それが、下記に挙げる要件6.4.3および11.6.1だ。2023年4月からバージョン4.0の内容に基づいて監査が始まっているものの、技術的な問題などから対応に負荷がかかる一部の新要件については、「ベストプラクティス要件」として最長で2025年3月末日まで準拠が猶予される。
[画像クリックで拡大]
記載された要件の要旨は、「サイトにアクセスするブラウザに読み込まれるスクリプトがスキミングを行わないよう適切に管理すること」と、「ページ改ざんを検知するメカニズムを、決済にクレジットカードを用いるサイトの責任で実装すること」だ。これらの要件では、グッドプラクティスの一例として、CSP(Content-Security-Policy)という仕組みを挙げている。これは、HTTPレスポンスヘッダーを利用し、サーバーからブラウザにコンテンツの使用ポリシーを伝えることで、ページで読み込まれるスクリプトの改ざんを検証・制御する仕組みだ。
一方、カード情報保護に関わる主要な機関やコミュニティでは、このところCSPから一歩進んだWebスキミング対策の必要性について、認知を広める動きが活発になってきている。これは、スキミング攻撃がCSPによる単純なスクリプト改ざん防止対策を回避するよう進化しており、CSPを利用しているサイトでも被害が出る動きが顕著になっているからだ。
