MEDIA_ARTICLE

カード情報の漏洩の実態「フォームジャッキング」

カード情報は闇サイト以外でも売買されている セキュリティソフト等を販売する企業が「闇サイトで数万件のカード情報が売買されている」といったニュースが散見されます。情報漏洩したカード情報が売買され、不正利用者の手に渡っていることを示唆しています。

しかし、実態は闇サイトに限らず、Facebookのコミュニティや、海外のサイトでは一般的なECサイトの形態でカード情報が売り買いされている実態もあることはあまり知られていません。

こうしたカード情報はどこで漏洩しているのでしょうか。

経済産業省が発表した「フォームジャッキング」という手口

2019年を振り返ると、フォームジャッキングという手法によりカード情報が漏洩している事例が多数報告されています。

このフォームジャッキングという手法は、一般のECサイトを改竄することにより、ECサイトユーザーがフォームに登録したカード情報を不正利用者の手元に飛ばす手口です。

2018年に英国の航空会社、ブリティッシュ・エアウェイズ社のサイトが何者かによって改竄され、約38万件ものカード情報が漏洩していた事件は記憶に新しいところです。

国内ではEC-CUBEのサイトが狙われる事件が多発

2019年12月、経済産業省がこうした被害の実態を受けて注意喚起のリリース文を公表しました。

出典:株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について(注意喚起)

EC-CUBEの脆弱性を狙い、ECサイトを改竄しカード番号を抜き取られる被害が散見されており、これまでに判明している限りでも約14万件を超えるカード番号が漏洩してしまっている、という内容です。

経済産業省が個別のEC事業者の名称を出した文書を発表するのは異例のことですが、それだけ被害が多発してしまっていることの裏返しとも言えます。

カード加盟店の不正対策への影響

2018年頃までのカード不正利用対策として、海外発行のクレジットカードによる取引については注意する、という手法が一定の効果を見せていました。

しかし、EC-CUBE経由で情報漏洩したカード番号のほとんどが国内発行カードであると言えるでしょう。(物販事業者は海外への商品発送を行っていないケースが多いため)

つまり、今後は国内発行カードによる不正利用も増加の傾向をたどるであろう、ということが想定されます。

これまでは既存のツールによるカード不正利用対策が一定の効果を見せていましたが、2020年以降は外部ツールの利用など、より実効性の高い不正利用対策が求められます。

加えて、カード加盟店においても、利用者の安心や信頼を得るためには、不正利用対策が欠かせない課題になってくるとも言えます。


<無料> – 国内外のチャージバック関連レポート

期間限定でチャージバック関連レポートを無料でご提供しています。

日本・欧米諸国のチャージバックの実態、日本国内におけるクレジットカード不正利用の被害・トレンドやその対応策についてまとめたものです。

以下のバナーをクリックし、ダウンロードページよりご確認ください。

*本資料のダウンロードは予告なく終了となる場合があります。ご了承ください。

<PR> – アクルの不正検知・認証システムサービス

当社ではカード加盟店向けの不正検知・認証システムサービスを展開しています。

サービス詳細・導入事例は以下のページをご確認ください。

SHARE

チャージバック、不正対策、統計など、知見や対策を解説

決済に関するあらゆる課題を解決。 AKURU inc.へお問い合わせください。