カード情報漏洩はなぜ起こる?

2017年4月1日

カード情報漏洩事故はどの様に発生したか

日本国内のあるECサイトにおいて、カード情報漏洩事故が発生しました。このECサイトでは、カード番号は保持せず、カード情報 ”通過型” と言われる方式により決済代行会社とシステム連携していました。

カード情報 “通過型” の連携方式を採用する事で、一般的にはカード情報の漏洩事故リスクは回避できると言われていました。ECサイトにカード情報は保管されないため、万が一ECサイトに対する不正アクセスがあった場合でも、カード情報は不正利用者の手元に渡る事はありません。

しかし、このカード情報 “通過型” を採用していた前述のECサイトではカード情報が抜き取られてしまう被害に遭いました。どういった手口によるものなのでしょうか。

 

システム脆弱性、セキュリティ管理体制に課題

被害に遭った事業者は経緯を調査し発表しています。この報告書によると、不正利用者は、まずECサイトの脆弱性に付けこみ、バックドアプログラム*を設置しました。外部からの遠隔操作を可能とする、このバックドアプログラムにより、ECサイト内部に保管された個人情報が抜き取られてしまいました。

また、報告書では本来ECサイト側に保管されない設計であるはずのカード情報についても触れられていました。調査の結果、ECサイトは本来の想定とは異なり、開発時のデバッグモードのまま運用してしまっており、設計上はログが残らないシステム仕様であったものの知らぬ間にカード情報を保管してしまっていた事が判明。

ECサイトの運営・保守を委託している事業者にはシステム開発業者から情報連携されておらず、デバッグモードのまま運用してしまった経緯は確認できないことも発表しています。

*バックドアプログラム - ログインなどの正規な手続きを踏まずにサーバ内部に侵入し、不正に遠隔操作を行うためのプログラム。

 

事故発生による対応と負担

報告書には経緯も含めて記載されており、情報漏洩の可能性発覚以降、以下の様な対応を進めてきていることにも言及しています。

  • ECサイトを閉鎖  *商品を販売できないため、当然ながら売上は停止状態に
  • 専門調査機関による調査
  • セキュリティレベルの高いシステム環境の早期構築
  • 対象顧客への報告とお詫びの連絡対応(クオカードの発送等)
  • 経済産業省への報告書提出

事故が発覚してからの対応では事業者側での業務負担、費用負担ともに大きいものとなる為、カード情報の非保持化対応などは余裕を持って進める事が重要です。

 

情報漏洩したカード番号、売買の現場

別のブログ記事(グローバルトピック参照)では、アメリカのECサイトへの不正アクセスの多くがヨーロッパとROW(Rest of the World / ヨーロッパ・アメリカ以外の国と地域)からのものであり、件数も急増していることをお伝えしましたが、不正アクセスにより漏洩したカード情報はアンダーグラウンドで売買されています。ここではカード情報売買の実態について簡単にご紹介します。以下、実際のWebサイトのキャプチャ画像です。

カード情報売買の実態とチャージバック

日本は国際的に信頼性が高いためか、日本発行のカード情報は比較的高額で売買される傾向にあると言われており、日本国内のEC事業者においては、国内よりも海外で発行されたカードによる不正購入が比較的多く見られます。こうした実態も不正を防止する参考情報になりそうです。