NTTコミュニケーションズ

Bizコンパス

ECサイトからのカード情報の流出。利用者ができる対策は?
2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?

著者 北河 拓士

カード情報が流出したECサイトの大半は「カード情報非保持」

 実は、カード情報が流出したECサイトの大半は、セキュリティコードどころかカード情報さえも保持していません。

 2018年に改正された割賦販売法で、カード情報等の適切な管理が義務付けられるようになり、クレジットカード加盟店は「カード情報非保持」または「PCI DSS準拠」のどちらかに対応することが必要とされるようになりました。

 PCI DSS(Payment Card Industry Data Security Standard)はクレジットカード情報の安全な取り扱いを目的に策定された、クレジットカード業界における国際セキュリティ基準です。

 PCI DSSの認証を取得し維持していくことは、中小のECサイトにとってはかなりの負担となるため、殆どの中小のECサイトでは「カード情報非保持」に対応することを選択しています。なお、「カード情報非保持」とはカード情報を電磁的情報として「保存」「処理」「通過」しないことを指します。

 

「カード情報非保持」のECサイトは2つのタイプに分類される

「カード情報非保持」のECサイトは、「JavaScript型」「リンク型」の2つの方式に分類されます。

「JavaScript型」では、ECサイト上の決済画面に決済代行会社から提供されるJavaScriptを埋め込みます。カード情報はJavaScriptにより、ECサイトを経由せずに、直接、決済代行会社に送信されます。

「リンク型」では、ECサイト上で決済ページに進むと、決済代行会社のサイトにページ遷移し、決済代行会社のサイト上でカード情報などの入力を行います。

「JavaScript型」、「リンク型」のどちらの方式も、カード情報はECサイトを「通過」しないため、ECサイト上にカード情報が「保存」されることはありません。そのため、従来のような、「SQLインジェクション」の脆弱性によりECサイト上のデータベースからカード情報が抜き出されることはありません。

 しかし、「カード情報非保持」のECサイトであっても、サイトにコンテンツを改ざん可能な脆弱性があると、カード情報を抜き取られてしまう可能性があります。

 

「カード情報非保持」のサイトからカード情報を盗み出す手口

 ECサイトのコンテンツを改ざんしてカード情報を盗み出す手口はどのようなものでしょうか?

「JavaScript型」では、コンテンツを改ざんして、入力されたカード情報などを決済代行会社のサーバーに加えて攻撃者のサーバーにも送信するようなJavaScriptを挿入します。

「リンク型」では、決済代行会社のサイトに遷移する前に偽の決済ページに遷移するようにコンテンツを改ざんします。利用者が偽の決済ページと気付かずにカード情報などを入力するとカード情報が攻撃者のサーバーに送信されます。その後、画面にエラーを表示し、正しい決済代行会社のサイトに遷移します。

関連キーワード

SHARE

関連記事

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

2021.01.20

ニューノーマル時代にビジネスはどう変わるか第1回

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

2020.12.24

IT&ビジネス最新ニュース第94回

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」

2020.12.23

DXを加速させるITシステムの運用改革第33回

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」

日本のセキュリティリーダーシップに求められる3つのこと

2020.12.14

IT&ビジネス最新ニュース第89回

日本のセキュリティリーダーシップに求められる3つのこと

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

2020.12.11

セキュリティ対策に求められる新たな視点第19回

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?

2020.12.09

セキュリティ対策に求められる新たな視点第18回

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?