ECサイトからクレジットカード情報が流出

(1/1)
case-046-01_クレジットカード不正使用被害の発生
EC サイトがサイバー攻撃を受け、利用者のクレジットカード情報が流出する事件が増えています。
クレジットカードを不正利用された利用者にとって不利益となるばかりでなく、EC サイトを運営している企業もサイト閉鎖で売上が落ちたり、社会的信用が低下するなどのダメージを受けます。
2018 年(平成 30 年)6 月に施行された改正割賦販売法(割賦販売法の一部を改正する法律)により、EC サイトはクレジットカード番号を保持できなくなったはずです。にもかかわらず、なぜ、EC サイトからクレジットカード番号が流出し続けるのでしょうか。その背景を探りました。

ECサイトがクレジットカード情報を保持(NG)

2018 年(平成 30 年)6 月に施行された改正割賦販売法(割賦販売法の一部を改正する法律)第35 条の 16 で、加盟店におけるカード情報の非保持化を義務づけています。EC サイトは、利用者が入力したクレジットカード番号を、カード決済を行う決済代行業者へ渡し、自らは保管していないはずです。
EC サイトの注意書きに「クレジットカード情報の保存はいたしません」などと記されていたり、カード決済時に画面が切り替わる EC サイトはルールを守っています。
そうでない EC サイトは気をつけた方がいいでしょう。

ECサイトの「なりすまし」対策が不十分(NG)

EC サイトは対面で本人確認を行うことができません。悪意のある第三者が有効なクレジットカード情報を入手できたら、それを利用できてしまいます。
そこで、改正割賦販売法(割賦販売法の一部を改正する法律)第35 条の 17 の 15 では、EC サイトに「なりすまし」対策の導入を義務づけています。
たとえば、VISA、Mastercard、JCB、AMEX が推奨する本人認証サービス「3D セキュア」は、クレジットカード情報以外に、カード発行会社で登録されたパスワードを入力することで、なりすまし対策としています。
こうしたなりすまし対策がとられていない EC サイトは気をつけた方がいいでしょう。

ECサイトが改竄(NG)

カード情報の非保持化の方法として、利用者が入力したクレジットカード情報を決済代行業者に送信するトークン型と、クレジットカード情報を入力しようとすると決済代行業者のサイトにジャンプするリダイレクト型の 2種類があります。
そこで、サイバー攻撃者は EC サイトそのものを改竄し、トークン型にせよリダイレクト型にせよ、入力したクレジットカード情報を横取りしようとします。これについては「正規サイトにも用心を」で紹介したとおりです。
EC サイト運営事業者が、自サイトのセキュリティ対策を十分に行い、定期的な点検を欠かさず行っていたとしても、改竄リスクは残ります。

自分のクレジットカード情報が流出したら

真っ当な EC サイトであれば、クレジットカード情報の流出が発覚したら速やかにメール連絡があります。また、公表された流出事故は「紛失・盗難による個人情報流出事件一覧」にも掲載しています。EC サイト運営業者の指示に従っていれば金銭的被害を被ることは、まずありません。

ただし、EC サイトやカード会社の名前をかたったフィッシングメールには注意してください。電子メールで、パスワードを含めた個人情報を確認することはありません。「フィッシング詐欺に引っかからないために」もあわせてご覧ください。

参考サイト

(この項おわり)
header