EN

NRIセキュア ブログ

【事例付き】ECサイトに必要なクレジットカード情報のセキュリティ対策を解説

目次

    2019.04.012016年12月の改正割賦販売法の公布をきっかけに、日本国内におけるクレジットカード情報のセキュリティへ対する意識は、これまでになく高まり、セキュリティ関連ニュースだけでなく一般のニュースの中でも、クレジットカードのセキュリティ対策に関して取り上げられることが増えてきました。

     

    しかし、高まるセキュリティ対策への関心とは裏腹に、クレジットカード情報漏えいによる不正利用被害金額は2017年に前年比倍増、2018年も横ばいとなり、依然として大きな被害が続いています。(日本クレジット協会 統計情報より*https://www.j-credit.or.jp/information/statistics/)

     

    なぜ、クレジットカード情報の漏えい事件は起きてしまうのか?どのようにして、クレジットカード情報のセキュリティ対策を行えば良いのか?実際の情報漏えい事故のケーススタディなどを織り交ぜながら解説します。

    card_banner

    クレジットカード情報に関するセキュリティ対策はECサイ
    ト事業者の責務

     「セキュリティ対策」を実施することは、クレジットカードを取り扱う事業者の義務なのでしょうか?日本国内におけるクレジットカード情報に関するセキュリティ対策は、201612月に公布された改正割賦販売法により、クレジットカード取引に関わるすべての事業者の責務となりました。

     

    セキュリティ対策に関する指針は、クレジット取引セキュリティ対策協議会によって作成される「実行計画」に示されており、クレジットカードを取り扱う加盟店は、PCI DSS準拠あるいはクレジットカード情報の非保持による対策が必要であるとされています。

     

    • Tips① PCI DSS (Payment Card Industry Data Security Standard)
    • 加盟店やサービスプロバイダにおいて、クレジットカード情報を安全に取り扱う事を目的として策定された国際基準です。PCI SSCという団体によって運用、管理されています。国際カードブランド(American ExpressDiscoverJCBMasterCardVISA)は、クレジットカード取引に関わるすべての事業者がPCI DSSに準拠することを求めています。
    • システムセキュリティや組織のセキュリティ管理体制だけでなく、ほぼ毎年追加される業界ベストプラクティスを反映しており、時代に合ったセキュリティ基準となっています。
    • Tips② クレジットカード情報の非保持化
    • 「実行計画」において提唱されている、日本独自のクレジットカード情報のセキュリティ対策の考え方です。
    • システムにおけるクレジットカード情報の取扱い(保存、処理および通過)を一切無くすことにより、システムからクレジットカード情報が漏えいするリスクをゼロにすることが可能になるという考えに基く対策です。あくまで自主的な対策の1つであるため、PCI DSSのような、第三者による認定は無く、事業者自身の判断で非保持化を表明します。

     

    デジタルコンテンツの販売サイト「DLmarket」を手がけていたディー・エル・マーケット株式会社は、20181017日に発覚したクレジットカード情報漏えいにより、同年1112日にサービスを停止しました。その後、サービス再開のための検討を重ねてきましたが、再開のためにはシステムの全面改修が必要と判明したため、2019326日に、同年628日もってサービスを終了することを発表しました。情報漏えいが発生すると、単に不正アクセスの原因箇所を修正するだけでなく、再発防止のための根本的なシステム改修や、管理体制の見直し等が必要となります。それは企業にとって、非常に負担が大きいということが分かる事例と言えます。

     

    また、しかるべきセキュリティ対策を施すのは、ECサイト運用者の責任であるということが、判例*にも出ています。この判例は、インテリア販売会社から委託を受けた、システム開発会社が、同社が作成・運用するECサイトに、しかるべきセキュリティ対策を実施しなかったことが、情報漏えいの原因であると認められ、約2,200万円の賠償金を求められたものです。(システム会社からインテリア会社へ、カード情報を保存しない方式の提案があったにも関わらず、それを採用しなかったことから、過失相殺3割が認められています)
    *http://www.softic.or.jp/semi/2014/5_141113/op.pdf

     

    このことからも、ECサイトへのセキュリティ対策が、企業の責任であると認識しなければならないということが分かります。

    クレジットカード情報が漏えいしたECサイトのセキュリテ
    ィインシデント事例~

    それではここから、実際にクレジットカード情報が漏えいしてしまった事例を「ケーススタディ」としてご紹介します。

    Case① ECサイトへの不正アクセス

    フォレンジック調査員として、筆者自身が実際に調査した漏えい事故の中から、典型的なECサイトへの不正アクセスの事例を、図解により説明します。ECサイトのセキュリティホールをついて、システム内部へ不正アクセスを行うのは、最も典型的なクレジットカード情報漏えいの手法です。

     

     

    被害を受けたECサイトは、システムコンポーネントのほとんどがデフォルト設定のまま使用されており、管理者アクセスに関する情報が、インターネット上から閲覧可能な状態でした。攻撃者は管理者権限でシステムにログイン後、決済アプリケーションを改ざんし、クレジットカード情報を約1ヶ月間に渡って窃取し続けました。

     

    ECサイトの脆弱性を利用した攻撃の流れa

    ECサイト脆弱性を利用した攻撃の流れ (Case①)

     

     

    Case①の問題点 ~ECサイトの仕様の理解と担当者の明確化を~

     

    調査時のインタビューにより、ECサイト運営者は、当該ECサイトで使用していた決済アプリケーションを、いわゆる非保持化ソリューションであると誤認しており、クレジットカード情報が「通過」していないと認識していたことが分かりました。しかし実際は、クレジットカード情報がECサイト内部を「通過」する仕様でした。

     

    また、クレジットカード情報をDB等へ「保存」をしておらず、決済プロバイダーによって「処理」する仕様であることから、ECサイトは非保持化対策済みであると認識していたとのことでした。

    調査の結果、「保存」「処理」については、ECサイト運営者の認識どおりの仕様であるものの、当該ECサイトは、クレジットカード情報が「通過」する仕様であり、非保持化対策が達成されていない状態であることが分かりました。(「Tips② クレジットカード情報の非保持化」参照)

     

    さらに、ECサイトのセキュリティ担当者が明確に決まっておらず、漏えい事故調査で明らかになるまで、誰も問題点を把握しておらず、ECサイトの開始以来、セキュリティ対策の見直しが、一度も行われていなかったことが分かりました。

     

    以上の問題点から、システム全体の仕様の理解、およびセキュリティ担当者の明確化は、ECサイトの安全な運営において最も大切な事であると言えます。

     

    Case② 偽サイトへの誘導

    ECサイト内部へ直接不正アクセスを行う従来型の攻撃に加えて、ECサイトの利用者を偽の決済サイトへの誘導し、そこでクレジットカード情報を不正に窃取する攻撃による被害が、2018年下期から急増しています。本タイプの攻撃を、図解により説明します。

     

    本タイプの攻撃は、フィッシングサイトを利用していますが、従来のフィッシングと異なる点があります。それは、本物のサイトを改ざんし、利用者が意図しない内に偽サイトへ誘導している点です。しかも、決済画面への移行時にのみ誘導されるため、利用者が気付くことは難しいです。

     

    偽サイトへの誘導によるカード情報窃取①

    偽サイトへの誘導によるカード情報窃取②

    偽サイトへの誘導によるカード情報窃取(Case2)

     

     

    Case②の問題点 ~ECサイト全体のセキュリティ対策が重要~

     

    Case②の事例において注目されたのは、クレジットカード情報の非保持化対策では対応出来ない攻撃手法であるということでした。Case①の場合は、非保持化を達成していれば、少なくとも同じ手法による漏えいは発生しなかったと言えます。しかし、Case②の場合は、システム内部から窃取するのではなく、誘導先の偽サイトで窃取するため、システム内部で非保持化するだけでは、効果がありません。(※公表内容によると、被害企業の中には、システム内部を非保持化対策済みのものもあります)

     

    それでは、どう対策すれば良いのでしょうか?Case①およびCase②とも、最初にウェブサイトのセキュリティホールに対して攻撃が行われたという点が共通しています。その後、Case①の場合はシステム内部を、Case②の場合はウェブサイトのコンポーネントを改ざんされたと考えられます。

     

    つまり、システム内部の非保持化だけではなく、ECサイトを含めた全体的なセキュリティ対策が必要ということが分かります。

    ECサイトでクレジットカード情報を守るためのセキュリテ
    ィ対策

    システム全体にセキュリティ対策を実施する

    公表されている事例、また弊社で取り扱った事例から考える限り、ECサイトからのクレジットカード漏えいは、ケーススタディに挙げたとおり、システム内部への不正アクセスまたは偽サイト誘導の2パターンに分類されます。

     

    パターンとしては2つですが、システムのセキュリティホールは、色々な角度から狙われています。なぜなら、攻撃者の目的はただ一つ、クレジットカード情報を窃取することですが、その準備として、対象のシステム全体から、攻撃可能なセキュリティホールをあらゆる手段を駆使してスキャンするためです。

     

    筆者はセキュリティ事故のフォレンジック調査員として、色々なお客様のシステムを調査させていただきましたが、被害システムには共通して成功しているもの以外にも、数え切れないくらいたくさん攻撃試行の痕跡があります

     

    たとえばCase①の場合、SSHFTP等のリモートアクセスの他、ウェブサイトへのSQLインジェクションの試行等も含め、調査時点のログに残っているだけで数千件の攻撃試行の痕跡がありました。どれが成功した攻撃なのかを、注意深く識別する必要があるくらいでした。

     

    いつ、どのような手段によって行われるか分からない攻撃に備えるためには、システム全体のセキュリティ対策が必要ということになります。また、Case①の反省点でも述べましたが、セキュリティ対策においては、セキュリティ担当者を明確化することが必要です。そして、他の事業担当者と連携して、技術と体制の両面から、システムの安全を守ることが重要です。

     

    ビジネス、セキュリティ、ITの担当が連携する体制が重要

    各担当者間の連携が重要

     

    業界のスタンダードのPCI DSS準拠を実現する

    システム全体のセキュリティ対策のベストプラクティスは、PCI DSSに凝縮されています。Case①の従来タイプの不正アクセス攻撃も、Case②の偽サイト誘導型の攻撃も、いずれの場合も、PCI DSS相当のセキュリティが確保されていれば、漏えい事故を防止出来たと考えられます。

     

    さらに、PCI SSCは昨今、中小規模加盟店向けに、より効率的にPCI DSS準拠を実現するための無料リソースを立て続けに公開*しています。システムの構成タイプ別のセキュリティ対策がまとめられているため、業務目的やコストに応じて、必要な分だけの対策を検討する上で参考となります。

    *https://ja.pcisecuritystandards.org/merchants/

    業務目的やコストに応じてセキュリティ対策をする

    先述のとおり、システム全体のセキュリティ対策が重要ではありますが、とは言っても、すべてのセキュリティ対策を一律にベストなレベルで実施することは、現実的とは言えません。まずは、システム全体の評価を実施して、リスクと影響を明確化し、さらに業務目的やコストのバランスを考慮しながら、プライオリティを付けて対応していくというのが最善なアプローチと言えるでしょう。

    おわりに ~One More Thing! 「安全」を継続しましょう~

    本記事では、クレジットカード情報のセキュリティ対策として、PCI DSSをスタンダードとして参照することが大事であると説明してきました。しかし、日本よりもキャッシュレス化が進んでいる欧米では、PCI DSS準拠後企業のクレジットカード情報漏えい事故がいくつも公表されています。これは何故でしょうか?

     

    2015年12月、米国SANS Instituteがまとめた調査レポート*によると、PCI DSSに準拠したにも関わらず、クレジットカード情報漏えいが発生した企業には、共通の特徴があることが分かりました。

    *https://www.sans.org/reading-room/whitepapers/compliance/compliant-secure-pci-certified-companies-breached-36497

     

    それは、PCI DSSの準拠後に安心してしまい、平常時のセキュリティ状況は、PCI DSS相当未満になってしまっていたということです。「少なくとも、漏えい時点におけるセキュリティ状態は、いずれの被害企業もPCI DSS準拠相当未満である」と結論付けられています。

     

    つまり、漏えいが発生した被害企業は、PCI DSSの審査を通過するためにセキュリティをベストな状態にして、認定というお墨付きを得た後は、セキュリティが低い状態になってしまうという事を、審査のたびに繰り返しているという、本末転倒な運用をしていたということです。

     

    PCI DSS準拠は、あくまで審査時点におけるセキュリティ状態を評価するものです。一方、クレジットカード情報が「安全」であるかどうかは、組織とシステムの平常時の運用によって決まります。先述のとおり、セキュリティ対策は、システム全体を考慮しつつ、業務目的とコストに応じて実施するべきなのですが、それが平常時に「継続可能」であることが最終的に必要となってきます。

     

    NRIセキュアテクノロジーズは、20092月より10年以上にわたって、様々なお客様のニーズに応えたPCI DSS準拠支援をご提供しております。クレジットカード情報のセキュリティ対策について、どんな課題やお悩みでも、是非お問い合わせください!平常時に継続可能な、貴社にとってベストなセキュリティ対策を探していきましょう!

     

    • 【まとめ】クレジットカード情報の「安全」を継続するための5つのセキュリティ
    • ①システム全体を考慮したセキュリティ
    • ②担当者を明確化したセキュリティ
    • ③業務目的に応じたセキュリティ
    • ④コストに応じたセキュリティ
    • ⑤継続可能なセキュリティ

     

    新規CTA