ECサイトからクレジットカード情報が流出

ECサイトがサイバー攻撃を受け、利用者のクレジットカード情報が流出する事件が増えています。
クレジットカードを不正利用された利用者にとって不利益となるばかりでなく、ECサイトを運営している企業もサイト閉鎖で売上が落ちたり、社会的信用が低下するなどのダメージを受けます。
2018年（平成30年）6月に施行された改正割賦販売法（割賦販売法の一部を改正する法律）により、ECサイトはクレジットカード番号を保持できなくなったはずです。にもかかわらず、なぜ、ECサイトからクレジットカード番号が流出し続けるのでしょうか。その背景を探りました。

2018年（平成30年）6月に施行された改正割賦販売法（割賦販売法の一部を改正する法律）第35条の16で、加盟店におけるカード情報の非保持化を義務づけています。ECサイトは、利用者が入力したクレジットカード番号を、カード決済を行う決済代行業者へ渡し、自らは保管していないはずです。
ECサイトの注意書きに「クレジットカード情報の保存はいたしません」などと記されていたり、カード決済時に画面が切り替わるECサイトはルールを守っています。
そうでないECサイトは気をつけた方がいいでしょう。

ECサイトは対面で本人確認を行うことができません。悪意のある第三者が有効なクレジットカード情報を入手できたら、それを利用できてしまいます。
そこで、改正割賦販売法（割賦販売法の一部を改正する法律）第35条の17の15では、ECサイトに「なりすまし」対策の導入を義務づけています。
たとえば、VISA、Mastercard、JCB、AMEXが推奨する本人認証サービス「3Dセキュア」は、クレジットカード情報以外に、カード発行会社で登録されたパスワードを入力することで、なりすまし対策としています。
こうしたなりすまし対策がとられていないECサイトは気をつけた方がいいでしょう。

カード情報の非保持化の方法として、利用者が入力したクレジットカード情報を決済代行業者に送信するトークン型と、クレジットカード情報を入力しようとすると決済代行業者のサイトにジャンプするリダイレクト型の2種類があります。
そこで、サイバー攻撃者はECサイトそのものを改竄し、トークン型にせよリダイレクト型にせよ、入力したクレジットカード情報を横取りしようとします。これについては「正規サイトにも用心を」で紹介したとおりです。
ECサイト運営事業者が、自サイトのセキュリティ対策を十分に行い、定期的な点検を欠かさず行っていたとしても、改竄リスクは残ります。

真っ当なECサイトであれば、クレジットカード情報の流出が発覚したら速やかにメール連絡があります。また、公表された流出事故は「紛失・盗難による個人情報流出事件一覧」にも掲載しています。ECサイト運営業者の指示に従っていれば金銭的被害を被ることは、まずありません。

ただし、ECサイトやカード会社の名前をかたったフィッシングメールには注意してください。電子メールで、パスワードを含めた個人情報を確認することはありません。「フィッシング詐欺に引っかからないために」もあわせてご覧ください。

• 割賦販売法令関係資料：経済産業省
• 「ECサイトからごっそり」、クレジットカードを狙うサイバー攻撃の進化とは：ビジネス＋IT，2020年1月30日
• フィッシング詐欺に引っかからないために：ぱふぅ家のホームページ