万が一、顧客のクレジットカード情報などの漏洩が起これば、経済的な損失だけでなく、組織の信頼も大きく損なわれるおそれがあります。それだけにEC事業者は、より一層のセキュリティ対策が欠かせません。
本記事では、主に「ECサイトからのクレジットカード情報漏洩」に関する、原因と対策について解説しています。「クレジットカードの情報漏洩について詳しく知りたい」「継続的にセキュリティ対策する方法は?」といったECサイト運営者の方だけでなく、「ECサイトのセキュリティ面は大丈夫なのか気になる」「どういったケースで情報漏洩するのか」とご心配の方も、ぜひご一読ください。
ECサイトのクレジットカード情報漏洩は増加傾向
ECサイトが爆発的に増え、消費者によるクレジットカード番号の入力機会も増加した結果、ECサイトからのクレジットカード情報漏洩も年々増加しています。経済産業省の調査(※1)によると、十分なセキュリティ対策を講じていないECサイトの脆弱性を狙った不正アクセス等によってECサイトが改ざんされ、不正ファイルの設置や偽の決済サイトへの誘導などにより、クレジットカード番号等が流出するといった事案が増加しているということ。
また、日本クレジット協会の調査結果(※2)によると、国内で発行されたクレカの不正利用被害額も近年は増加傾向にあり、2021年には過去最高額の330.1億円、2022年には436.7億円、2023年は過去最高の540.9億円にのぼり、前年比で100億円以上増加し続けています。これらの被害の原因が、すべてECサイトからのクレジットカード情報漏洩によるものとは限りませんが、大きな要因となっていることは間違いありません。
決済代行会社を利用し、自社にクレジットカード情報を保持しないことで情報漏洩のリスクを減らしている事業者も多いと思いますが、昨今のサイバー攻撃では、クレジットカード情報の入力画面の改ざんにより、利用者が入力するタイミングでクレジットカード情報が盗まれるため、非保持化に対応しているECサイト運営企業でさえも決して安心できないのが実情です。
(※1)「最近の主な漏えい事案」経済産業省 商務・サービスグループ 商取引監督課(https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/pdf/001_04_02.pdf)
(※2)「クレジットカード不正利用被害の発生状況」(https://www.j-credit.or.jp/information/statistics/download/toukei_03_g.pdf)
クレジットカード情報漏洩の原因
それではここで、クレジットカード情報漏洩の主な原因を見ていきましょう。大別すると【外的要因】と【内的要因】になります。
外的要因
WEBスキミング
ECサイトの個人情報漏洩の原因として一番多いのは、オープンソースのショッピングカートシステムを利用したECサイトが脆弱性を突かれ、WEBスキミングと呼ばれる攻撃を仕掛けられるケースです。
WEBスキミングは、ECサイト上の決済アプリケーションにJavaScript等の不正なコードを挿入することにより、注文者が入力した決済情報が攻撃者に送信されるよう改ざんし、クレジットカード情報などを窃取する攻撃です オープンソースのショッピングカートの場合、機能追加のプラグインなどを使うと、ソフトウェア自体のアップデートの際にプラグインの部分が正常に作動しない可能性があります。
その際、アップデート作業にコストをかけたくないがために、旧バージョンのまま利用するケースが多々あります。
また、ショッピングカートシステムのカスタマイズを担当したシステム会社が、脆弱性公開情報を見落とす場合も考えられます。攻撃者は公開された脆弱性の情報を見て一斉に攻撃してくるため、そうした事態を招く前に迅速な対応が求められます。
ECサイトのフォームやリンクの改ざん
ECサイトを管理するシステムに不正アクセスされ、ECサイト上のフォームやリンクを不正なものに書き換える改ざんの手口です。
書き換えられた不正なフォームやリンクにECサイト利用者が気づかずに接続、あるいは情報を入力してしまうことで、カード情報などの利用者の情報が盗み取られてしまいます。
内的要因
情報漏えいの原因は、外部からの攻撃だけではありません。ECサイト運営スタッフのセキュリティ意識の低さが原因となり、管理ミスや誤操作などによって引き起こされるケースも少なくありません。
また、内部での不正行為や情報持ち出しといった社内犯罪も、情報漏洩の原因の数パーセントを占めています。権限のある人間ならUSBメモリ一つで、機密情報を簡単に持ち出せてしまう体制には非常に問題があります。
さらに、システム会社との窓口担当者が変更になってしまうと、システム会社との関係自体が疎遠になってしまい、セキュリティ面における体制の継続が十分でなくなることも。こうしたちょっとした体制の緩みが、脆弱性対策が追い付かない事態を引き起こすことにも繋がるので、十分にご注意ください。
クレジットカード情報漏洩の対策
次に、具体的なクレジットカード情報漏洩の対策について解説していきます。
ASPのショッピングカートを利用する
オープンソースではなく、ASP(Application Service Provider)のショッピングカートであれば、例え脆弱性が発見されても、アプリケーション提供社が定期的にアップグレードを行ってくれるため、ショッピングカートの脆弱性を意識することなく、ECサイトを運営することができます。
不審なアクセスや挙動の24時間監視
「WEBアプリケーションファイアウォール(WAF)」「脆弱性スキャンツール」「SIEM」などの、セキュリティなどの専門の監視サービス導入もおすすめです。24時間365日の監視体制を構築し、外部からの不正アクセスや設計にない挙動を検知することが可能になります。
ECサイトの脆弱性診断の実施
WEBアプリにはさまざまな脆弱性が内在している可能性があります。第三者の専門機関に依頼して定期的に脆弱性診断を実施することも必要です。
診断では、WEBアプリケーションの脆弱性を意図的に利用し、断片的なSQL文をアプリケーションに不正に注入し実行させる「SQLインジェクション」や、ページを閲覧した不特定多数のユーザーに、悪意のあるコードを簡易的なプログラムとして実行させる「クロスサイトスクリプティング」などの脆弱性が検査されます。発見された欠陥に対しては適切な対策を施しましょう。
クレジットカード決済環境の整備
ECサイトを運営するEC事業者には、改正割賦販売法に基づき「『クレジットカード情報の非保持化』もしくは『PCI DSSに準拠する』いずれかの対策を講じること」が義務付けられています。
クレジットカード情報の非保持化とは、加盟店が保有する機器やネットワークにおいて、カード情報を電磁的に保存・処理・通過させないことを意味します。
具体的には以下の方式の導入により、実現が可能です。
(1)リダイレクト型(リンク型) カード決済時に、決済サービスプロバイダーの画面に遷移させて決済を行う方式です。顧客は決済サービスプロバイダーの決済ページでカード情報を入力するため、ECサイトがカード情報を保持することはありません。
(2)JavaScript型(トークン型) ECサイトの決済画面に決済サービスプロバイダーが提供するJavaScript APIを組み込んで利用し、決済を行う方式です。ECサイトのサーバーを経由することなく、顧客から直接決済サービスプロバイダーの決済サーバーにカード情報が送信されます。そのため、ECサイトが顧客のカード情報を保持することはありません。
「PCI DSS(Payment Card Industry Data Security Standard)」とは、クレジットカード業界における世界的なデータセキュリティ基準です。具体的には、ファイアウォールの設置・アンチウイルスソフトの導入・データの暗号化・物理的なアクセス制限など、さまざまな対策を講じる必要があります。
「PCI DSS」への準拠は、時間やコスト等を考えると現実的ではないため、この条件を満たす決済代行会社と契約するのが現実的でしょう。
社内体制の強化
クレジットカード情報の漏洩を防ぐには、社内でのセキュリティルールを整備した上で適切な運用体制を作るとともに、従業員のセキュリティ意識を高めるための教育が不可欠です。
自社のシステム部門や、システム会社の窓口部門の体制強化などを行いましょう。また、適切なアクセス権限の設定や社内監視の徹底なども重要です。
すぐに着手できる情報漏洩対策方法として、自社のパスワードポリシーを見直しがあります。ユーザーアカウントへのアクセスを守るためには、パスワードの強化が不可欠です。
最低8文字以上・英数字と記号を組み合わせるなど適切なパスワードポリシーを設定すれば、サイバー攻撃への耐性が高まります。過去に使用したパスワードの再利用を禁止したりするといった、運用面での対策も重要です。
情報漏洩した場合に運営者が取るべき対応は?
万が一、自社のECサイトからクレジットカード情報が漏洩してしまった場合、ECサイト運営企業に求められる初動対応は、大きく分けて以下の3つになります。
クレジットカード決済の停止およびECサイトの一時閉鎖
自社が運営するECサイトからのクレジットカード情報漏洩の可能性について、決済サービスプロバイダー(PSP)から連絡を受けたら、ECサイト運営企業は、被害の拡大を防止するために、クレジットカード決済を停止します。
またECサイトを一時停止し、外部からのアクセス遮断を行う必要もあります。 なお、以下で説明する「フォレンジック調査」によって流出原因の調査、原因の特定と応急処置、必要なセキュリティ対策が完了するまで、ECサイトの再開は原則的に認められません。
フォレンジック調査依頼
「フォレンジック調査」とは、クレジットカード情報漏洩の発生に際し、原因特定や被害範囲特定を行うための調査です。カード会社との加盟店契約において、加盟店は情報漏洩事故が起きた際の調査が義務付けられています。
ECサイト運営企業は、フォレンジック調査会社が作成したレポートを、PSPを通じてクレジットカード会社に提出することになります。
調査の期間は2〜4週間の期間で完了するケースが多く、調査費用は数百万円から1000万円程度が見込まれます。
なお、クレジットカード情報漏洩事案では、フォレンジック調査を行う調査機関は原則として「PFI」に限られます。「PFI(PCI Forensic Investigator)」とは、国際カードブランドによって設立された独立機関「PCI SSC」が認定するフォレンジック調査会社で、最新のリストをPCI SSCのWEBサイト(https://www.pcisecuritystandards.org/lang/ja-ja/)で確認することができます。
個人情報保護委員会への報告と顧客への通知
ECサイトからクレジットカード番号を含む個人データが漏洩した場合、「個人情報保護委員会」へ報告(速報)をします。
漏洩の発覚後、3~5日以内に報告する必要がありますのでご注意ください。さらに漏洩期間内にクレジットカード決済をした顧客のカード情報のリストをもとに、顧客への通知および公表を行います。
また、調査結果を踏まえた個人情報保護委員会への報告(確報)を、漏洩発覚から30日以内に行ってください。
※個人情報保護委員会への報告の手順などについては、個人情報保護委員会のホームページ(https://www.ppc.go.jp/personalinfo/legal/leakAction/)で確認できます。
【まとめ】ECサイト運営者が知っておくべきクレジットカード情報漏洩における対策
万が一、顧客のクレジットカード情報などの漏洩が起これば、経済的な損失だけでなく、組織の信頼も大きく損なわれるおそれがあるだけに、個人情報や決済情報を適切に保護するためには、徹底した対策が必須になります。
「ASPのショッピングカートの利用」「不審なアクセスや挙動の24時間監視」「ECサイトの脆弱性診断の実施」「クレジットカード決済環境の整備」といった、外部からの攻撃への対策はもちろん、社内体制の強化も欠かせません。
しかし、セキュリティ対策を過剰に重視し過ぎると、ECサイトの購入プロセスが複雑化したり、ユーザーの利便性が損なわれる恐れがあります。
ユーザーに複雑な操作を求めたり、決済プロセスを安全にするための対策が行き過ぎると、ユーザーのストレスが高まり、結果として「カゴ落ち」などの途中離脱を招くことも。
それだけに、最新のセキュリティ対策を取り入れつつ購入者の認証操作などを最小限に抑え、ユーザーにスムーズな購入体験を提供することが重要になります。
ユーザー目線でシンプルかつ、強固なセキュリティ対策を目指すことをおすすめします。
この記事を書いた人
ルビー・グループ コーポレートサイトチーム
各分野の現場で活躍しているプロが集まって結成されたチームです。
開発、マーケティング、ささげ、物流など、ECサイトに関するお役立ち情報を随時更新していきます!