NTTコミュニケーションズ

Bizコンパス

ECサイトからのカード情報の流出。利用者ができる対策は?
2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?

著者 北河 拓士

カード情報が流出したECサイトの大半は「カード情報非保持」

 実は、カード情報が流出したECサイトの大半は、セキュリティコードどころかカード情報さえも保持していません。

 2018年に改正された割賦販売法で、カード情報等の適切な管理が義務付けられるようになり、クレジットカード加盟店は「カード情報非保持」または「PCI DSS準拠」のどちらかに対応することが必要とされるようになりました。

 PCI DSS(Payment Card Industry Data Security Standard)はクレジットカード情報の安全な取り扱いを目的に策定された、クレジットカード業界における国際セキュリティ基準です。

 PCI DSSの認証を取得し維持していくことは、中小のECサイトにとってはかなりの負担となるため、殆どの中小のECサイトでは「カード情報非保持」に対応することを選択しています。なお、「カード情報非保持」とはカード情報を電磁的情報として「保存」「処理」「通過」しないことを指します。

 

「カード情報非保持」のECサイトは2つのタイプに分類される

「カード情報非保持」のECサイトは、「JavaScript型」「リンク型」の2つの方式に分類されます。

「JavaScript型」では、ECサイト上の決済画面に決済代行会社から提供されるJavaScriptを埋め込みます。カード情報はJavaScriptにより、ECサイトを経由せずに、直接、決済代行会社に送信されます。

「リンク型」では、ECサイト上で決済ページに進むと、決済代行会社のサイトにページ遷移し、決済代行会社のサイト上でカード情報などの入力を行います。

「JavaScript型」、「リンク型」のどちらの方式も、カード情報はECサイトを「通過」しないため、ECサイト上にカード情報が「保存」されることはありません。そのため、従来のような、「SQLインジェクション」の脆弱性によりECサイト上のデータベースからカード情報が抜き出されることはありません。

 しかし、「カード情報非保持」のECサイトであっても、サイトにコンテンツを改ざん可能な脆弱性があると、カード情報を抜き取られてしまう可能性があります。

 

「カード情報非保持」のサイトからカード情報を盗み出す手口

 ECサイトのコンテンツを改ざんしてカード情報を盗み出す手口はどのようなものでしょうか?

「JavaScript型」では、コンテンツを改ざんして、入力されたカード情報などを決済代行会社のサーバーに加えて攻撃者のサーバーにも送信するようなJavaScriptを挿入します。

「リンク型」では、決済代行会社のサイトに遷移する前に偽の決済ページに遷移するようにコンテンツを改ざんします。利用者が偽の決済ページと気付かずにカード情報などを入力するとカード情報が攻撃者のサーバーに送信されます。その後、画面にエラーを表示し、正しい決済代行会社のサイトに遷移します。

関連キーワード

SHARE

関連記事

読者アンケートからわかった企業のセキュリティの課題とその対策とは

2021.06.30

セキュリティ対策に求められる新たな視点第25回

読者アンケートからわかった企業のセキュリティの課題とその対策とは

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

2021.06.16

セキュリティ対策に求められる新たな視点第24回

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

2021.01.20

ニューノーマル時代にビジネスはどう変わるか第1回

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

2020.12.24

IT&ビジネス最新ニュース第94回

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」

2020.12.23

DXを加速させるITシステムの運用改革第33回

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」