不正利用の被害額は過去最悪を更新
個人情報の流出事故が報じられる際、最近はクレジットカード情報が含まれていたかどうかにも関心が集まるようになりました。住所、氏名が漏えいすると不安は募りますが、すぐに経済的な実害に結びつく可能性は高くありません。しかし、カード情報が他人に渡ってしまうと、その直後に高額商品を買われてしまうリスクが生じます。
つまり、カード番号と有効期限を含むクレジットカード情報は、個人の財産にも等しい情報資産なのです。インシデントが発生した際、流出した情報の種別として、券面に印字される数桁の「セキュリティコード」の有無まで触れる報道が増えたのは、カード情報の価値に対する社会的な理解が進んだ証と言えるでしょう。
一方で、国内におけるカードの不正利用被害額は、ここ数年は毎年、過去最悪を更新し続けています。攻撃者にとってクレジットカードは恰好の標的です。もちろん、守る側が無策でいるはずはなく、カードとその周辺の事業は、先鋭化する攻撃と防御が対峙する激戦地になっています。この分野におけるセキュリティ対策の発想と技術は、他の業種業態が参考にできる要素も少なくありません。今回はそのエッセンスを見ていきましょう。
偽造カードは鎮圧に成功
日本クレジット協会では、カードの不正利用に関するデータを定期的に公表しています。2024年の被害額は過去最悪の555億円。92.5%にあたる514億円がカード番号の盗用です。少し前までの不正被害は、磁気カードに記録されたデータを読み取って作る偽造カードによるものも多かったのですが、偽造が極めて困難なICチップを実装したICカードへの更新が進んだ結果、この犯罪は鎮静化しました。
クレジットカード不正利用被害額の推移
出典:かっこ株式会社・株式会社リンク
「キャッシュレスセキュリティレポート(2024年10-12月版)」
一方で、カード番号の盗用に対しては、今のところICのような決定打がありません。
偽造を諦めた攻撃者は、物理的なカードを使わない犯罪、フィッシングや不正アクセスなどで窃取したカード情報を、非対面のEC加盟店で使う領域にリソースを集中してきました。その結果、番号盗用の被害の増加が続いているというわけです。
もともと物理的なカードで信用と安全を担保するクレジットカード決済は、非対面のECとは相性が良くありません。リアル店舗での決済は、カード会社と専用端末を配置した加盟店との間で、取引の可否を判断する「オーソリゼーション(取引承認)」を経て成立し、必要に応じてサインや暗証番号を追加した本人確認もできます。しかし、インターネット環境ではこうした仕組みの運用は困難です。
ネットショッピングでは、商品の到着時に代金を渡す「料金代引き」や「コンビニ支払い」、あらかじめ購入してチャージを済ませておくプリペイドカードなどの決済手段がありますが、利便性が高いのはオンラインでカード番号と有効期限など、いくつかの情報を伝えるだけで決済できるクレジットカードです。
利便性と安全性をどう両立するか?
ECの拡大期からVisaやMastercardなどの国際ブランド*をはじめ、各国の業界団体、カード会社、セキュリティ企業を中心に、本人認証の強化やシステムに記録したデータの保護、安全な通信ネットワークの構築などに取り組んできました。
*国際ブランド:カードを世界共通に利用できるようにするため、カードの形状から記録するデータ形式、決済端末の仕様、セキュリティ対策、ネットワーク構成などのルールを定め、運用管理する事業者。日本のJCBも国際ブランドの一角。
「3Dセキュア」で本人認証を強化
カード情報の不正利用を防ぐ対策の一つとして、国際ブランドではカード発行会社のサイトで、パスワードを登録する「3Dセキュア」を制定しました。対応するECサイトでは、決済時にカード情報に加えてパスワード入力を課すやり方です。これにより安全性は格段に向上しますが、デメリットは利便性を損ねてしまうこと。そもそもこの方法を知らない人、パスワードを忘れた人が買い物を完了せずに離脱してしまう“カゴ落ち”のリスクが高い点が課題でした。
3Dセキュアは、売上の低下を避けたいEC事業者にも拡がらず、現在は改良版の「EMV 3Dセキュア」(以下EMV 3DS)*に引き継がれています。新しい方式の考え方はリスクベース。カード決済を求めるユーザーに対し、バックエンドでIPアドレス、デバイスの種別、OS/言語設定、過去の取引履歴、サイトでの振る舞いなどを検証し、問題がないアクセスはそのまま通し、ハイリスクの場合はパスワードなどの追加認証を求めるというやり方です。
*EMV:Europay、Mastercard、Visaの頭文字を合わせた造語
リスクベース認証によるリスク判定のイメージ
出典:日本クレジット協会 「EMV 3Dセキュア導入ガイド」
国内では現在、EMV 3DSの導入と稼働を推進しています(3Dセキュアは2022年10月に国際ブランドがサポートを終了)。クレジット取引セキュリティ対策協議会が発行した「クレジットカード・セキュリティガイドライン(5.0版)」では、カードを決済手段とするEC事業者に対し、2025年3月までにEMV 3DSを実装すべきと明記されました。割賦販売法などの業法による直接の規定ではありませんが、同ガイドラインの遵守は、カード会社との加盟店契約や決済事業者への業務委託に必須のため、事実上の義務化と考えていいでしょう。
カード発行会社に対するEMV 3Dセキュアの導入方針
出典:クレジット取引セキュリティ対策協議会
「クレジットカード・セキュリティガイドライン(5.0版) 改定ポイント」
カード情報の大量流失は未解決
3DセキュアとEMV 3DSの推進により、カード情報に対する本人認証の強化が進む一方、もう一つ、大きな問題が未解決のままでした。EC加盟店や決済代行事業者(一般加盟店の決済処理を代行する企業)など、大量のカード情報を保有する組織からの情報漏えいです。少し時間を遡りますが、象徴的な事件として、2008年に米国で起きた決済事業者からのカード情報の流出が挙げられます。
「SQLインジェクション」というデータベースに不正な命令を送る攻撃を受け、決済ネットワークに侵入された結果、1億件(推定)を超えるカード情報が漏えいするという被害を受けました。一般企業に比べはるかにガードが堅い決済事業者、かつ「PCI DSS(Payment Card Industry Data Security Standard)」という国際セキュリティ基準に準拠していても安全ではないという事実を知らしめたインシデントとして、当時のカードと決済、セキュリティの関係者に衝撃を与えました。
この他にも、2013年に米国の著名スーパーが取引先のシステムを経由してマルウェアを植えつけられ、4,000万件のカード情報が流出した事件、ほぼ同時期にホームセンターが攻撃を受け、5,000万件以上の情報が漏えいした一件などが知られています。こうしたインシデントの多発を受け、当時のオバマ大統領が一般教書演説の中で、“サイバー攻撃によるネットワークの遮断、企業情報やプライバシーの漏えいを起こさせてはならない”と言及したほどです。
国内でも同種の事件は多発しています。2010年代中期から後期にかけて、通販事業者がSQLインジェクションの攻撃を受け、決済サーバーに侵入されて7万件を超えるカード情報が流出した一件や、大手コンビニが運営するショッピングサイトへの不正ログインが繰り返され、最大で15万件のカード情報が窃取された攻撃も発生。この他にも、大手菓子メーカーや生命保険、オンラインゲーム運営企業などが深刻な被害を受けています。
次の一手は“情報を持たない”
サイバー攻撃と情報漏えいが頻発する中、当然ですが、国際ブランドとカード会社、セキュリティ企業が無策だったわけではありません。マルウェア対策をはじめ不正アクセスの阻止、脆弱性の迅速な是正など、考えられるあらゆる手を打って犯罪と対峙してきました。しかし、ここは他の産業分野でも同様ですが、企業システムの仕様を調べ上げ、僅かな隙を突いてくる攻撃を完全にブロックするのは容易ではありません。
個々のEC事業者がマルウェア対策やメールセキュリティの強化など、基本的なセキュリティ対策に取り組む一方、経済産業省と日本クレジット協会などの業界団体が連携して、トップダウンの施策を打ち出しました。それはカード情報の漏えいを防ぐ方法の一つとして、“カード情報を持たない”という戦略です。
前述した「クレジットカード・セキュリティガイドライン」の中で重点政策の一つとして、EC加盟店に対し「カード情報非保持化」を提示。この手法は安全対策に有効と分かっていても、個々の企業の努力では限界があったため、国と業界が要請する制度として事実上の義務化まで踏み込んだのです。
非保持化の考え方は、EC加盟店はカード決済に必要な情報はすべて決済代行事業者に預けるというものです。ユーザーからカード決済のオーダーが入ると、決済事業者が用意した専用画面に遷移するなどの方法で、一連のカード決済の処理を完結させます。
カード情報非保持の仕組み(「リダイレクト型」というタイプ)
出典:日本クレジット協会
犯罪者は情報がないところからも奪う
国内では特に非保持化に力を入れ、「クレジットカード・セキュリティガイドライン」では、原則として“カード情報の非保持化を徹底”し、自社システムで情報を“保存、処理、通過させる場合はPCI DSS準拠”を求めました。カード会社や大手加盟店などはPCI DSS準拠を進めましたが、対応にマンパワーとコストがかかるため、大多数のEC加盟店は非保持を選択。2025年の現在、国内のEC加盟店はほぼ対応を終えています。
攻撃者がECサイトの脆弱性を突いて不正侵入に成功しても、目当てのカード情報はありません。官民一体の取組みによって、EC加盟店から一度に大量のカード情報が盗まれる被害は鎮静化に向かいました。しかし冒頭で触れた通り、カードの不正被害額は過去最悪を更新し続けています。なぜでしょうか?
攻撃者は非保持を完了した加盟店からも、情報を窃取する手口を編み出してしまったからです。原因はこれ以外にも、数は少ないのですがPCI DSSに準拠し、強固な安全対策を施している組織からも漏えいが発生していること、また業界のルールが浸透していない委託先や関連会社からの流出も相当数あるものと推測できます。
後編では、この実態と攻防を見ていきましょう。