2018年後半に浮き上がった事例で見逃せないのがクレジットカード情報の流出事件だ。聖教新聞、伊織、ウエストという3件の事例がある。Webセキュリティの第一人者である徳丸浩氏に、これらの事件について語ってもらった。3回にわけて掲載する。

(聞き手は日経xTECH Active編集部)

カード情報非保持だけでは不十分

今回はお題は2つあって、どちらからいきましょうか。クレジットカード情報の流出事件とdポイントの不正利用問題です。

徳丸 クレジットカードの情報漏洩の事件から解説していきましょう。2018年年末にも事件が発表されたところです。2018年12月18日に、洋菓子舗ウエストの通販サイトからクレジットカード情報668件が流出した可能性がある、と発表されました(発表文写真1)。この事件が問題なのは、クレジットカード情報をサーバーに保存しない、クレジットカード情報の「非保持化」が進んでいて、実際に「非保持化」しているのに、クレジットカード情報が漏洩してしまった、ということにあります。

図1●洋菓子舗ウエストのサイトに掲載された「不正アクセスによるお客様情報流出に関するお詫びとお知らせ」
(出所:洋菓子舗ウエスト)
[画像のクリックで拡大表示]

 2018年1月、こちらの連載に掲載した記事でカード情報非保持について解説したときに「非保持は有益だが、それだけでは不十分でしょう」という話をしました。その時はもともとあるカード入力画面が改ざんされて、攻撃者が作成したJavaScriptコードが実行され、情報が漏れるという手口について解説しました。ウエストの事件は、その延長線上にあるというか、それを上回る巧妙な手口です。

 よく似た事件は、聖教新聞の通販サイト「SOKAオンラインストア」、今治タオルの販売を手掛ける伊織の通販サイト「伊織ネットショップ」で起きています。今回は、どのような手口なのか、詳しく解説したいと思います。

用語解説:クレジットカード情報の「非保持化」
 クレジットカード情報漏洩を防止するために、カード情報をサーバーに保存せずに運用すること。ECサイトを運営するときに、決済に関わるところは、決済代行業者にまかせて、ECサイトはカード情報に関わらないようにする。

 主な方法として「画面遷移型」と「JavaScript型」の2つがある。画面遷移型は、決済代行業者のサーバーに遷移してカード情報を入力してもらうというタイプ。JavaScript型はトークン方式とも呼ばれるもので、画面は店舗のものだが、JavaScriptでカード情報を決済代行業者に送り、店舗のほうには残さない。決済代行業者からは乱数であるトークンというものを返して、店舗の側ではそれをサーバーに決済の証拠として保存しておくという形式だ。

 背景にあるのは、カードを使った買い物に関する法律である「割賦販売法」の改正だ。政府は2018年6月1日に「割賦販売法の一部を改正する法律(以下、改正割販法)」を施行し、顧客にカード決済を提供する全ての企業にセキュリティ対策を義務付けている。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。