割賦販売法改正案が閣議決定－クレジットカードを狙う犯罪は深刻 |

2016年10月18日、「割賦販売法の一部を改正する法律案」が閣議決定され、第192回臨時国会に提出されることになりました。この改正法律案には、クレジットカード情報の適切な管理、販売業者に対する管理強化、FinTech（フィンテック）の更なる参入を見据えた環境整備、特定商取引法の改正に対応するための措置といった、大きく 4つの項目が盛り込まれています。クレジットカード情報を狙ったサイバー犯罪が横行する中で大きな動きの一つとなりそうです。

今回の改正案の中でも特に注目すべきが、「クレジットカード情報の適切な管理等」のポイントです。これは、クレジットカード情報の漏えい対策や、決済端末の ICチップ付きクレジットカード対応といった、クレジットカード情報の適切な管理ならびに不正使用の防止を販売業者に対して義務付けるというものです。これらの対応が必要とされる背景には、クレジットカード情報の窃取や不正使用といったサイバー犯罪の世界的な増加があります。

今月公開した記事にもある通り、クレジットカード情報を窃取するサイバー犯罪の一つには、ECサイトのようなクレジットカード情報を処理、保持する企業やシステムを狙った脅威があります。もう一つは、小売業など店頭でクレジットカードを取り扱う企業やシステムを狙ったサイバー犯罪です。クレジットカード決済やネットショッピングの世界的な普及に伴い、クレジットカード情報の窃取や偽造カードによる不正な決済といった犯罪の防止は、クレジットカードを取り扱うすべての事業者に求められるものになっています。

■狙われるクレジットカード情報
2016年9月にトレンドマイクロが発表した「法人組織におけるセキュリティ対策実態調査2016年版」においては、回答者の 10.2％が運営する ECサイトにおいてサイバー攻撃被害を受けたと回答しています。生活環境の変化や価格競争といった様々な背景が考えられますが、近年では小売りを専業とする企業だけでなく、規模、業種問わず様々な企業が運営する ECサイトが台頭しています。これまで公表されている被害事例を見てみると、大半のケースはクレジットカード情報を保持するシステムにおいて発生していますが、非保持の ECサイトにおいても被害が確認されています。

ホテルやレストランといったサービス業や物品販売などを行う小売業では、「販売時点情報管理システム（Point-Of-Sale、POSシステム）」を使って決済を行いますが、ここ数年サイバー犯罪者が攻撃の対象としているシステムの 1つがこの POSシステムになります。近年のオープン化やクレジットカード決済の普及に伴い、クレジットカード決済に対応した POSシステムは日本国内でも我々の生活の中で当たり前のものになりました。

「法人組織におけるセキュリティ対策実態調査 2016年版」においても、13.0％の回答者が 2015年に POSシステム・ネットワークにおいてサイバー攻撃の被害に遭っていると回答しています。日本国内における POSシステムのサイバー攻撃事案はこれまでほとんど公になることはありませんでしたが、記憶に新しいところではホテル事業を行うハイアットにおいて日本国内 4拠点を含む世界 54カ国 250拠点で POSシステムがサイバー攻撃の被害に遭っていたことが2016年1月に明らかになりました。また記憶に新しいところでは、ホテル事業を行うヒルトン・ワールドワイドから流出したクレジットカード情報を使って、カード偽造ならびに不正購入をしていた容疑者が逮捕されるという事案も 2016年9月にありました。

このような被害を POSシステムにもたらす脅威が、「POSマルウェア」と言われる特殊な不正プログラムになります。クレジットカード決済を行うことができる POS端末で取り扱われるカード情報を不正に抜き取る犯罪手法のひとつで、ここ数年 POSマルウェアによる被害は世界的にも深刻なものになってきています。弊社のクラウド型セキュリティ基盤である「Trend Micro Smart Protection Network（SPN）」のデータによると、POSマルウェアの検出が確認された端末台数は、2015年全世界で 1,166件と対前年比約2.4倍、国内でも 55件と対前年比約6.1倍増加しています。2016年1～3月期が POSマルウェアの検出台数が最も多かった時期で、全世界で 520件、国内でも 31件確認されております。2016年の検出台数は、9月末時点で全世界で 1,041件、国内で 50件となっており、年末には昨年の検出台数を世界的にも国内的にも上回るものと予測されます。

図1:POSマルウェア検出台数推移

■深刻な POSマルウェア被害、国内外で政府が対応
POSマルウェアの脅威が深刻になり始めたのは、2013年年末に発覚した米国小売大手 Targetの事例ですが、2014年に入り、以降米国では小売、外食、配送、外食、娯楽、駐車場といったクレジットカードを取り扱う実にさまざまな業種の企業において、POSマルウェアによるクレジットカード情報漏えい被害に直面しています。米国では、このような状況をふまえて、2014年10月17日（米国時間）には、大統領令発令という形でバラク・オバマ米国大統領がセキュリティ強化を促すという異例の対応をしています。大統領令発令からちょうど2年がたちましたが、残念ながら米国では POSマルウェアによるカード情報漏えい被害がここ数カ月で立て続けに公になっています（図2）。

	時期	会社	業種	国	被害内容
1	2016年10月	ヴェラ・ブラッドリー	ファッション	米国	2016年7月から約2カ月間店頭で取り扱われたカード情報が流出の可能性
2	2016年9月	Hutton Hotel	ホテル	米国	2012年9月以降合計約3年間ホテル、飲食拠点で取り扱われたカード情報流出の可能性
3	2016年8月	オラクル	情報通信	世界	レガシーシステムに不正プログラム混入。全世界 33万か所に影響の可能性。
4	2016年8月	エディ・バウアー	ファッション	米国	2016年1月から約6カ月間店頭で取り扱われたカード情報流出の可能性
5	2016年8月	HEI Hotels & Resorts	ホテル管理	米国	2015年3月から約17カ月間運営するホテル拠点 20か所で取り扱われたカード情報流出の可能性
6	2016年8月	Millennium Hotels & Resorts North America	ホテル	米国	2016年3月から約3カ月間飲食店等で取り扱われたカード情報漏えいの可能性
7	2016年8月	Noble House Hotels & Resorts	ホテル	米国	2016年4月から約5カ月間米国 13拠点で取り扱われたカード情報漏えいの可能性
8	2016年7月	Omni Hotels & Resorts	ホテル	米国	2015年12月から約6カ月間ホテル拠点で取り扱えわれたカード情報流出の可能性
9	2016年7月	Wendy’s	外食	米国	2015年秋から約1年近く米国内約1,000拠点で取り扱われたカード情報流出の可能性
10	2016年7月	Cici’s Pizza	外食	米国	2015年6月から約1年間米国約100拠点で取り扱われたカード情報流出の可能性

図2：過去数カ月間での POSシステムからのクレジットカード情報流出被害事例一覧

■進まないクレジットカードセキュリティ近代化
近年のPOSマルウェアによるクレジットカード情報漏えい被害の拡大の背景には、POSシステムのオープン化と進まないIC対応があります。近年POSシステムには Embedded OS かどうかに限らず Windows OS が採用され、企業内の ITネットワークと直接あるいは間接的に繋がったり、インターネットに直接繋がる形でこのシステムは利用されていることから、サイバー攻撃等によってクレジットカード情報を窃取される懸念があります。加えて、IC対応が進んでいない国のクレジットカード取引は、磁気情報による決済が大判を占めていることから、窃取されたカード情報を使って、偽造カードや本人になりすました不正使用による被害も懸念されています。

POSマルウェアを駆使してクレジットカード情報を窃取するサイバー犯罪者は、これらの点に着目して、POSマルウェアを使うことで、POS端末によってクレジットカードの磁気部分から読み込まれるカード情報を盗み取るという犯罪手法を利用し始めました（詳細はトレンドマイクロリサーチペーパー参照）。今回の割賦販売法改正案に盛り込まれているのと同様に、2年前の米国大統領令でもPOSシステムのIC対応を必須のものとしていました。しかし、米国で表面化する一連の被害事例からも、一度稼働が始まると基本的には数年間使い続けるPOS端末のセキュリティを、各企業において短期間で一斉に強化することが難しい現実が考えられます。トレンドマイクロの調査でも、POSシステム・ネットワークのセキュリティ対策が十分行われていると回答しているのは21.4％にとどまります。深刻化するクレジットカード情報を取り巻くサイバー犯罪を受けて、クレジット取引セキュリティ対策協議会が「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を 2016年2月に発表しました。この文書の認知度は 76.7％と非常に高いですが、この文書の内容を組織におけるセキュリティ対策に十分反映させていると回答しているのはわずか 18.6％にとどまります。クレジットカードを取り巻く犯罪の現状と、クレジットカード情報を取り扱う組織として取り組むべき事項を理解し、対策に反映させていくことが望まれます。

■クレジットカード決済を守るための対策
残念ながら、クレジットカード情報を守るための対策には、これだけ実施すれば十分というものはありません。クレジットカード情報を非保持化することが、取扱事業者としてはリスク削減には非常に有効な手段になりますが、例えばポイント付与などのロイヤリティプログラムとクレジットカードが連動している企業やシステムにおいては現実的ではありません。また、クレジットカード情報を保持する企業やシステムにおいては、クレジットカード業界で定められたセキュリティ基準である PCI DSS に準拠することが強く推奨されます。例えば ECサイトにおいては、クレジットカード情報のやり取りを行う Webアプリケーションに存在する脆弱性を狙ったような脅威から守るための対策の実施などが一例としてあげられます。

クレジットカードを取り扱う POSシステムにおいては、POSマルウェアの脅威に対するリスクを削減する意味でも、ICチップに対応することが求められますが、単純にシステムが対応するだけではなく、カード情報を端末側に一時的にも読み込まないといった仕組みが必要になります。クレジットカードを差し込むタイプの接触型リーダを使う場合においても、ヨーロッパで普及が始まっているクレジットカードをかざすだけで決済ができる非接触型（コンタクトレス）リーダを使う場合においても同様です。

また、標的型サイバー攻撃と同様に、自主的に被害に気づくことができずに被害が長期化している被害事例が多数存在します。このような被害実態からも、クレジットカード情報を取り扱う企業においては、ネットワーク内部における外部との不審な通信やカード情報のやり取りを早期に発見できるような対策が極めて重要です。

トレンドマイクロでは、ECサイトや POSネットワークにおいてカード情報を集約的に取り扱うサーバに対しては、総合サーバセキュリティ対策「Trend Micro Deep Security」を提供しています。日常的なシステムの変更が難しい POS端末においては、「Trend Micro Safe Lock」といったホワイトリスト型のソリューションが利用できます。また、クレジットカード情報を取り扱うネットワークにおいては、「Deep Discovery Inspector」といった不正な通信を監視する製品を利用することで、ネットワーク内部での不審な動きを早期に発見することが可能になります。

クレジットカード決済が普及する昨今、カード情報を窃取した上で、闇市場で売買したり不正利用したりするといったサイバー犯罪は深刻です。一方で、2020年には東京オリンピック・パラリンピック競技大会の開催に伴い、数多くの外国人観光客、競技関係者、報道関係者が日本を訪れることから、クレジットカード決済はもちろんモバイル決済などのキャッシュレス決済への需要はますます高くなっていくことが予測されます。今回の法改正案はこのような様々な外部環境要因が影響しているものですが、これを一つの契機により安全なカード決済が行われるようセキュリティ対策が進んでいくことを期待します。

■参照情報：

割賦販売法改正案が閣議決定－クレジットカードを狙う犯罪は深刻

Related posts: