Bizコンパス

ECサイトからのカード情報の流出。利用者ができる対策は?
2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?

著者 北河 拓士

カード情報が流出したECサイトの大半は「カード情報非保持」

 実は、カード情報が流出したECサイトの大半は、セキュリティコードどころかカード情報さえも保持していません。

 2018年に改正された割賦販売法で、カード情報等の適切な管理が義務付けられるようになり、クレジットカード加盟店は「カード情報非保持」または「PCI DSS準拠」のどちらかに対応することが必要とされるようになりました。

 PCI DSS(Payment Card Industry Data Security Standard)はクレジットカード情報の安全な取り扱いを目的に策定された、クレジットカード業界における国際セキュリティ基準です。

 PCI DSSの認証を取得し維持していくことは、中小のECサイトにとってはかなりの負担となるため、殆どの中小のECサイトでは「カード情報非保持」に対応することを選択しています。なお、「カード情報非保持」とはカード情報を電磁的情報として「保存」「処理」「通過」しないことを指します。

 

「カード情報非保持」のECサイトは2つのタイプに分類される

「カード情報非保持」のECサイトは、「JavaScript型」「リンク型」の2つの方式に分類されます。

「JavaScript型」では、ECサイト上の決済画面に決済代行会社から提供されるJavaScriptを埋め込みます。カード情報はJavaScriptにより、ECサイトを経由せずに、直接、決済代行会社に送信されます。

「リンク型」では、ECサイト上で決済ページに進むと、決済代行会社のサイトにページ遷移し、決済代行会社のサイト上でカード情報などの入力を行います。

「JavaScript型」、「リンク型」のどちらの方式も、カード情報はECサイトを「通過」しないため、ECサイト上にカード情報が「保存」されることはありません。そのため、従来のような、「SQLインジェクション」の脆弱性によりECサイト上のデータベースからカード情報が抜き出されることはありません。

 しかし、「カード情報非保持」のECサイトであっても、サイトにコンテンツを改ざん可能な脆弱性があると、カード情報を抜き取られてしまう可能性があります。

 

「カード情報非保持」のサイトからカード情報を盗み出す手口

 ECサイトのコンテンツを改ざんしてカード情報を盗み出す手口はどのようなものでしょうか?

「JavaScript型」では、コンテンツを改ざんして、入力されたカード情報などを決済代行会社のサーバーに加えて攻撃者のサーバーにも送信するようなJavaScriptを挿入します。

「リンク型」では、決済代行会社のサイトに遷移する前に偽の決済ページに遷移するようにコンテンツを改ざんします。利用者が偽の決済ページと気付かずにカード情報などを入力するとカード情報が攻撃者のサーバーに送信されます。その後、画面にエラーを表示し、正しい決済代行会社のサイトに遷移します。

SHARE

関連記事

テレワークのセキュリティでの9つの疑問と回答

2020.05.12

IT&ビジネス最新ニュース第11回

テレワークのセキュリティでの9つの疑問と回答

SSDにおいて削除したファイルの復元は可能か?

2020.04.21

今知っておきたいITセキュリティスキルワンランクアップ講座第21回

SSDにおいて削除したファイルの復元は可能か?

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

“届いてから最短10分”でテレワークを始める方法がある

2020.03.04

テレワーク導入の“壁”を解決第1回

“届いてから最短10分”でテレワークを始める方法がある

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第18回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

不正なOffice文書によるマルウェア感染への対策

2020.01.21

今知っておきたいITセキュリティスキルワンランクアップ講座第19回

不正なOffice文書によるマルウェア感染への対策