NTTコミュニケーションズ

Bizコンパス

ECサイトからのカード情報の流出。利用者ができる対策は?
2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?

著者 北河 拓士

利用者が攻撃に気付くことは難しい

「JavaScript型」での攻撃は、画面上は正常な取引となんら変化はないため、利用者が攻撃に気付くことはまず不可能です。

「リンク型」での攻撃は、正常な取引と異なり、偽の決済ページに遷移するため、アドレスバーのURLを注意深く見ていれば偽の決済ページだと気付くことができる可能性はあります。ただし、偽の決済ページがECサイトと同一のドメイン上に作成されたり、決済代行会社と類似のドメインが使用されたりする可能性もあるため、そのECサイトのページ遷移などを熟知していないと攻撃に気付くことは難しいでしょう。

 

利用者に過失がない場合には被害は補償される

 ECサイトからのカード情報の流出が大量に起きており、利用者が攻撃に気付くことができないとなると、ECサイトでのクレジットカードの利用は控えた方が良いと思うかもしれません。

 しかし、上記で解説したようなECサイトの決済フォームが改ざんされたことによるカード情報の流出では、利用者に過失はないため、流出したクレジットカードが第3者に不正利用されたとしても、利用者が自己負担することはなく、引き落としの停止又は返金により補償されます。

 ただし、不正利用があってから61日以内にカード会社に連絡をしないと補償を受けられないなどの条件がある場合があります。よって、カードの利用明細書は毎月しっかり確認して、利用した覚えのない請求がある場合には、すぐにカード会社に連絡する様にして下さい。

 また、パスワードが簡単なものであったために第3者になりすましでログインされて不正利用されてしまったような場合やフィッシングサイトにカード番号やセキュリティコードを入力してしまった場合などでは、利用者に過失があると判断され被害が補償されないことがありますので注意して下さい。

 なお、補償の内容や条件はカード会社やカード種類によって異なります。詳しくは規約を確認して下さい。

 

利用者ができる対策は?

 不正利用が補償されるといっても、面倒な手続きが必要だったり、返金されるまでに時間がかかったりするなど、不正利用をされないに越したことはありません。

 ECサイトが代引きやコンビニ・郵便局などでの後払い(払込票)に対応している場合は、それらを利用するも良いでしょう。代引きや後払いであれば支払いは済んだのに商品が届かないということもありません。ただし、手数料が数百円程度かかるのが一般的です。

 

バーチャルカードを使う

 カード情報が流出してしまった場合でも、不正利用されるのを防いだり、被害を最小限にしたりするにはバーチャルカードを利用するのがおすすめです。

 バーチャルカードはネット決済専用のカードで、物理的なカードは発行されず、Web上でカード番号のみが発行されます。

 バーチャルカードの用途は主に2つあります。1つは、定期的な収入がないなどの理由で通常のクレジットカードの審査に通ることが難しい人でも、プリペイド(前払い)することや利用可能額を少額にすることにより、ネット決済可能なカードが持てることです。もう1つは、ネット決済を安全に行えるようにすることです。

 バーチャルカードの名称が付いたものであればどれでも良い訳ではなく、利用可能額の変更や、カード利用の一時停止・再開、カード番号の変更などがWeb上で簡単にできることで、ネット決済の安全性を高める機能がついたものを選びましょう。

 バーチャルカードにはプリペイドタイプのものとクレジットカードタイプのものがあります。プリペイドタイプのものは事前にチャージした残額の範囲で利用できます。また、クレジットカードタイプのものは利用可能額の範囲で利用でき、後から口座から引き落とされます。

 たとえば、エポスバーチャルカードは、エポスカードの保有者なら無料で発行できるクレジットカードタイプのバーチャルカードです。利用可能額をエポスカードの利用可能額の範囲内で、1万円単位で自由に設定できるため、普段は利用可能額を0円に設定しておき、ECサイトで決済をする前に利用する金額分の利用可能額を設定。決済が終了したら、また、利用可能額を0円に戻すということも可能です。

 カード番号の利用停止や再発行も簡単にできるため、ECサイトでの利用が終了したらカード番号を利用停止すればより安全です。もし、カード情報が流出したとしても、その番号は既に利用停止されているため不正利用の被害を受けることはありません。次に利用する時は新しいカード番号を再発行して利用します。

 楽天バーチャルプリペイドカードは楽天カードの保有者なら無料で発行できるプリペイドタイプのバーチャルカードです。カード利用の一時停止・再開がWeb上で簡単にできるため、普段は利用停止にしておき、ECサイトでの決済の前に利用再開。決済が終了したら、また、利用停止にすることが可能です。

 残高が残った場合には、新しいカード番号へ残高を移行して合算することができます。古いカード番号は残高が0円になり利用できなくなるため、カード情報が流出したとしても不正利用の被害を受けることはありません。

 なお、楽天バーチャルプリペイドカードの購入額の上限は3万円。残高を合算した場合の上限は5万円で、高額な取引には利用できないので注意して下さい。

 ここで紹介した以外にも、各社からバーチャルカードが発行されていますので、機能や手数料、利用可能額、補償内容、特典などを比較して選ぶのが良いでしょう。

 なお、公共料金、インターネットプロバイダー料金、保険料などの継続的な支払いが発生する取引や、航空券やコンサートチケットなど、受け取り時に現物のクレジットカードの提示が必要となる取引ではバーチャルカードは使用できません。また、その他にもバーチャルカードを利用できないECサイトもありますので注意して下さい。

関連キーワード

SHARE

関連記事

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

2021.01.20

ニューノーマル時代にビジネスはどう変わるか第1回

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

2020.12.24

IT&ビジネス最新ニュース第94回

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」

2020.12.23

DXを加速させるITシステムの運用改革第33回

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」

日本のセキュリティリーダーシップに求められる3つのこと

2020.12.14

IT&ビジネス最新ニュース第89回

日本のセキュリティリーダーシップに求められる3つのこと

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

2020.12.11

セキュリティ対策に求められる新たな視点第19回

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?

2020.12.09

セキュリティ対策に求められる新たな視点第18回

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?