実は、カード情報が流出したECサイトの大半は、セキュリティコードどころかカード情報さえも保持していません。
2018年に改正された割賦販売法で、カード情報等の適切な管理が義務付けられるようになり、クレジットカード加盟店は「カード情報非保持」または「PCI DSS準拠」のどちらかに対応することが必要とされるようになりました。
PCI DSS(Payment Card Industry Data Security Standard)はクレジットカード情報の安全な取り扱いを目的に策定された、クレジットカード業界における国際セキュリティ基準です。
PCI DSSの認証を取得し維持していくことは、中小のECサイトにとってはかなりの負担となるため、殆どの中小のECサイトでは「カード情報非保持」に対応することを選択しています。なお、「カード情報非保持」とはカード情報を電磁的情報として「保存」「処理」「通過」しないことを指します。
「カード情報非保持」のECサイトは2つのタイプに分類される
「カード情報非保持」のECサイトは、「JavaScript型」「リンク型」の2つの方式に分類されます。
「JavaScript型」では、ECサイト上の決済画面に決済代行会社から提供されるJavaScriptを埋め込みます。カード情報はJavaScriptにより、ECサイトを経由せずに、直接、決済代行会社に送信されます。

「リンク型」では、ECサイト上で決済ページに進むと、決済代行会社のサイトにページ遷移し、決済代行会社のサイト上でカード情報などの入力を行います。

「JavaScript型」、「リンク型」のどちらの方式も、カード情報はECサイトを「通過」しないため、ECサイト上にカード情報が「保存」されることはありません。そのため、従来のような、「SQLインジェクション」の脆弱性によりECサイト上のデータベースからカード情報が抜き出されることはありません。
しかし、「カード情報非保持」のECサイトであっても、サイトにコンテンツを改ざん可能な脆弱性があると、カード情報を抜き取られてしまう可能性があります。
「カード情報非保持」のサイトからカード情報を盗み出す手口
ECサイトのコンテンツを改ざんしてカード情報を盗み出す手口はどのようなものでしょうか?
「JavaScript型」では、コンテンツを改ざんして、入力されたカード情報などを決済代行会社のサーバーに加えて攻撃者のサーバーにも送信するようなJavaScriptを挿入します。
「リンク型」では、決済代行会社のサイトに遷移する前に偽の決済ページに遷移するようにコンテンツを改ざんします。利用者が偽の決済ページと気付かずにカード情報などを入力するとカード情報が攻撃者のサーバーに送信されます。その後、画面にエラーを表示し、正しい決済代行会社のサイトに遷移します。