NTTコミュニケーションズ

Bizコンパス

ECサイトからのカード情報の流出。利用者ができる対策は?
2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?

著者 北河 拓士

カード情報が流出したECサイトの大半は「カード情報非保持」

 実は、カード情報が流出したECサイトの大半は、セキュリティコードどころかカード情報さえも保持していません。

 2018年に改正された割賦販売法で、カード情報等の適切な管理が義務付けられるようになり、クレジットカード加盟店は「カード情報非保持」または「PCI DSS準拠」のどちらかに対応することが必要とされるようになりました。

 PCI DSS(Payment Card Industry Data Security Standard)はクレジットカード情報の安全な取り扱いを目的に策定された、クレジットカード業界における国際セキュリティ基準です。

 PCI DSSの認証を取得し維持していくことは、中小のECサイトにとってはかなりの負担となるため、殆どの中小のECサイトでは「カード情報非保持」に対応することを選択しています。なお、「カード情報非保持」とはカード情報を電磁的情報として「保存」「処理」「通過」しないことを指します。

 

「カード情報非保持」のECサイトは2つのタイプに分類される

「カード情報非保持」のECサイトは、「JavaScript型」「リンク型」の2つの方式に分類されます。

「JavaScript型」では、ECサイト上の決済画面に決済代行会社から提供されるJavaScriptを埋め込みます。カード情報はJavaScriptにより、ECサイトを経由せずに、直接、決済代行会社に送信されます。

「リンク型」では、ECサイト上で決済ページに進むと、決済代行会社のサイトにページ遷移し、決済代行会社のサイト上でカード情報などの入力を行います。

「JavaScript型」、「リンク型」のどちらの方式も、カード情報はECサイトを「通過」しないため、ECサイト上にカード情報が「保存」されることはありません。そのため、従来のような、「SQLインジェクション」の脆弱性によりECサイト上のデータベースからカード情報が抜き出されることはありません。

 しかし、「カード情報非保持」のECサイトであっても、サイトにコンテンツを改ざん可能な脆弱性があると、カード情報を抜き取られてしまう可能性があります。

 

「カード情報非保持」のサイトからカード情報を盗み出す手口

 ECサイトのコンテンツを改ざんしてカード情報を盗み出す手口はどのようなものでしょうか?

「JavaScript型」では、コンテンツを改ざんして、入力されたカード情報などを決済代行会社のサーバーに加えて攻撃者のサーバーにも送信するようなJavaScriptを挿入します。

「リンク型」では、決済代行会社のサイトに遷移する前に偽の決済ページに遷移するようにコンテンツを改ざんします。利用者が偽の決済ページと気付かずにカード情報などを入力するとカード情報が攻撃者のサーバーに送信されます。その後、画面にエラーを表示し、正しい決済代行会社のサイトに遷移します。

SHARE

関連記事

「Zoom」のセキュリティ(後編)使っても大丈夫か?

2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

「Zoom」のセキュリティ(前編)何が問題だったのか?

2020.07.30

今知っておきたいITセキュリティスキルワンランクアップ講座第22回

「Zoom」のセキュリティ(前編)何が問題だったのか?

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

2020.06.05

テレワーク導入の“壁”を解決第8回

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

テレワークのセキュリティでの9つの疑問と回答

2020.05.12

IT&ビジネス最新ニュース第11回

テレワークのセキュリティでの9つの疑問と回答

SSDにおいて削除したファイルの復元は可能か?

2020.04.21

今知っておきたいITセキュリティスキルワンランクアップ講座第21回

SSDにおいて削除したファイルの復元は可能か?

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」