開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2020/01/30

「ECサイトからごっそり」、クレジットカードを狙うサイバー攻撃の進化とは

ネット通販の普及に伴って消費者向けのEC(電子商取引)市場が拡大している。ただし、その窓口となるECサイトに新たなセキュリティリスクが登場してきた。サイトを改ざんすることによってクレジットカードなどの利用者情報を搾取しようというものだ。それは、どういう仕組みなのか。また、対処方法はあるのか。セキュリティソフトベンダー大手のトレンドマイクロでセキュリティエバンジェリストを務める岡本 勝之 氏が語った。

ジャーナリスト 松岡 功

ジャーナリスト 松岡 功

フリージャーナリストとして「ビジネス」「マネジメント」「IT」の3分野をテーマに、複数のメディアで多様な見方を提供する記事を執筆している。電波新聞社、日刊工業新聞社などで記者およびITビジネス系月刊誌の編集長を歴任後、フリーに。危機管理コンサルティング会社が行うメディアトレーニングのアドバイザーも務める。主な著書に『サン・マイクロシステムズの戦略』(日刊工業新聞社、共著)、『新企業集団・NECグループ』(日本実業出版社)、『NTTドコモ リアルタイム・マネジメントへの挑戦』(日刊工業新聞社、共著)など。1957年8月生まれ、大阪府出身。

photo
トレンドマイクロでセキュリティエバンジェリストを務める岡本 勝之氏
(出典:記者説明会で筆者撮影)

企業の信用に直結するECサイトのセキュリティ対策

 「ネット通販」という言葉がすっかり定着した昨今。経済産業省によると、国内の消費者向け(BtoC)EC(電子商取引)市場の規模は、2018年に前年比9%増の約18兆円となり、2010年の2.3倍になった。物販系分野を対象としたEC化率は6.22%で、まだまだ成長のポテンシャルを感じさせる。

画像
国内の消費者向けEC市場規模の推移(単位:億円)
(出典:経済産業省)

 ただし、ECサイトを運営する企業にとって大きなリスクとなっているのが、セキュリティ対策だ。ECサイトでは、これまでもサイトへのアクセスを妨害する「DDoS攻撃」や、利用者がサイトを訪れた際に不正なプログラムを作動させてウイルスなどに感染させるように細工した「水飲み場攻撃」をはじめとしたさまざまなサイバー攻撃を受けてきており、それらの対処に追われてきた。

 ECサイトにおいてセキュリティ対策がとりわけ重要なのは、住所や名前などの個人情報や、金銭をやり取りするクレジットカード情報といった重要な機密情報を取り扱うからだ。顧客情報などを狙うサイバー攻撃者が機密情報を入手できれば、クレジットカードを不正利用したり、搾取行為のために個人情報のリストを転売するなどして不正に利益を得ることができる。

 一方、ECサイトを運営する企業にとっては、セキュリティ事故が発生してしまうと金銭的な損害が発生するだけでなく、社会的な信用も失ってしまうことになる。ECサイトが使えなくなるだけでなく、場合によっては企業そのものの存亡にも関わる。そしてその脅威に、最近、新たなパターンが登場してきたという。

利用者のクレジットカード情報を詐取する巧妙な手口

 セキュリティソフトベンダー大手のトレンドマイクロでセキュリティエバンジェリストを務める岡本 勝之氏が、国内サイバー犯罪動向について説明したメディア向けセミナーで明らかにした新たな脅威は、サイトを改ざんすることによってクレジットカードなどの利用者情報を詐取しようというものだ。

 岡本氏によると、2018年に施行された改正割賦販売法により、ECサイトは顧客の決済手段として使用されるクレジットカード情報を保持することができなくなった。これにより、ECサイトからのカード情報漏えいはなくなるものと期待されたが、サイバー犯罪者はこの安全の思い込みを簡単に覆してきたという。

 ECサイトにおけるクレジットカード情報の非保持化の方法は、「JavaScript(トークン)型」と「リダイレクト(リンク)型」の2種類がある。いずれの方法であっても、ECサイト自体の改ざんにより、利用者のクレジットカード情報を奪うことは可能だという。

画像
ECサイトにおけるクレジットカード情報の非保持化の仕組み
(出典:トレンドマイクロ)

【次ページ】ECサイト運営者がとるべき対策は?

お勧め記事

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!