EC サイトによるインターネット取引の急拡大によって、国内でのクレジットカード(以下、カード)利用は年々増加しており、2020 年に行われる東京オリンピックへの訪日客によるカード決済の急増も予測されます。このように国内でのカード決済のさらなる普及が見込まれている一方で、トレンドマイクロが 2017 年に実施した調査では、卸・小売業の国内企業のうち、34.3% が POS システム・ネットワークでのインシデントを経験し、35.2% が EC サイトでのセキュリティインシデントを経験していることが分かっています。実際、国内では EC サイト等を含む公開サーバからカード情報が漏えいするといった事例が複数公表され、一方海外では POS システムに感染したマルウェアによってカード情報が窃取されるといった被害事例が顕著になっています。こうした背景から、より安全なカード利用の実現を目的に、2018 年 6 月 1 日に「改正割賦販売法」が施行されました。その結果、カード情報を取り扱う法人組織では、「カード情報の適切な管理」や「不正利用防止」のために必要な措置をとることが求められるようになりました。
■公開サーバからのカード情報漏えい
国内法人組織が運営する公開サーバが狙われたサイバー攻撃事例は、2017 年 1 月から 2018 年 5 月までの期間において月平均 8.3 件公表されています。さらに、カード情報が漏えいした、または漏えいした可能性があると公表した事例(以下、カード情報漏えい事例)は、全体で月平均 1.9 件確認されていますが、改正割賦販売法が施行される直前の 5 月にも同様の事例は確認されています。
図:国内の主な公開サーバへの攻撃事例およびカード情報漏えい事例件数推移
(2018 年 5 月 31 日時点の公表情報をもとに、トレンドマイクロが独自に整理)
また、カード情報漏えい事例を見てみると決済システムが稼働するサーバ上のソフトウェアや Web アプリケーション等の脆弱性が狙われたケースが 72.7% にものぼることが分かっています。EC サイト等でカード情報を取り扱う加盟店では、脆弱性対策の強化が重要な課題となっているといえます。
■POS システムのマルウェア感染によるカード情報漏えい
国内では公開サーバの脆弱性が狙われた事例が顕著な一方で、海外では POS システムへのマルウェア感染によるカード情報漏えい被害が顕著になっています。個々の被害事例を見てみると、POS システムが侵害されてから発覚するまでに相当の時間を要している傾向があります。なかには 11 ヶ月もの間、POS システムのマルウェア感染に気付けていないといった事例もありました。また、POS システムがマルウェアに感染した場合、影響範囲は一店舗に止まることなく、複数の店舗に拡大していることも特徴的です。
| 公表月 | 被害組織 | 公表月 | 被害組織 |
| 2017 年 2 月 | Intercontinental Hotels Group※1 | 2017 年 10 月 | Hyatt Hotels Corporation※7 |
| 2017 年 2 月 | Arby’s Restaurant Group, Inc.※2 | 2017 年 11 月 | Forever 21※8 |
| 2017 年 4 月 | Chipotle Mexican Grill, Inc.※3 | 2018 年 1 月 | Jason’s Deli※9 |
| 2017 年 5 月 | Brooks Brothers Group, Inc.※4 | 2018 年 3 月 | Applebee’s※10 |
| 2017 年 6 月 | Kmart Corporation※5 | 2018 年 4 月 | Hudson’s Bay Company※11 |
| 2017 年 6 月 | Buckle Inc.※6 | 2018 年 5 月 | Brinker International, Inc.※12 |
(2018 年 5 月 31 日時点の公表情報をもとに、トレンドマイクロが独自に整理)
衣料品大手の Forever 21 で発生した被害事例では、2017 年 4 月から 11 月までの約 7 ヶ月半の期間、カード情報の漏えいの可能性に気付けておらず、Brinker International, Inc. の事例では Chili’s Grill & Bar の 1,600 店舗が侵害された可能性が公表されています。POS システムが侵害された場合、その検知が難しく利用者への影響が拡大するとともに、被害が長期化することが懸念として挙げられます。現在のところ、国内では POS システムがマルウェアに感染したといった事例は数多くは顕在化していません。しかし、EMV 対応を実施していない決済システムを継続利用しているケースも見られることから、サイバー犯罪者はこうした状況を把握した上で、今後カード利用が高まる国内の POS システムを狙ってサイバー攻撃を仕掛けてくることが考えられます。POS システムを運用している法人組織においては、万が一 POS 端末および POS システム用のサーバが侵害された場合でも、サイバー攻撃を早期に検知できるようセキュリティを強化することが必要です。
■改正割賦販売法の施行で加盟店に求められる対応
このように国内外で決済システムにおける様々な被害が発生している中、EC サイトや実店舗等からのカード情報漏えいやカードの不正利用といった被害を防ぐため、2018 年 6 月 1 日に改正割賦販売法が施行されました。この法律によって、EC 加盟店および対面加盟店として決済システムを運用する法人組織では、カード情報の非保持化(非保持化と同等/相当のセキュリティ措置の実現)、またはカード情報保護対策の強化が求められることとなります。さらに、カードの不正利用対策として、EC 加盟店では、本人認証(3D セキュア等)、セキュリティコードによる認証、属性・行動分析による判定、不正配送先情報による判定といった、多面的・重層的な対策の導入が求められ、対面加盟店に対しては POS 等の決済システムの EMV 対応化が必要となってきます。改正割賦販売法の施行によって求められる対策がなされていない場合、加盟店契約の締結拒否、解除といった措置が講じられ、カード決済が行えなくなるリスクがあります。そのため、決済システムを運用する法人組織では、決済システム内のカード情報の流れを改めて見直し、自組織の対応を検討しなければなりません。
改正割賦販売法では、カード情報の非保持化を、「加盟店において、カード情報を電磁的に送受信しないこと」と定義しています。これは、法人組織で保有する機器、ネットワーク等においてカード情報が「保存」、「処理」、「通過」されないことと決められています。カード情報のデータが自組織のシステム内のどこかを通過しただけで、カード情報を保持していると見なされることから、意図しない形でカード情報を保持してしまっている法人組織も十分考えられます。例えば、カード情報が外部業者側で保存されていたとしても、自組織の EC サイト画面で、利用者にカード情報を入力させている場合はカード情報の保持に該当します。カード情報の非保持化が実施できれば、自組織での情報漏えいリスクを回避することができますが、現行の決済システムのリース契約や改修、ビジネスへの影響を考慮した結果、カード情報の保持をやむなく選択するケースも少なくないでしょう。そうした場合には、カード業界の国際的なセキュリティ基準である Payment Card Industry Data Security Standard(以下、PCI DSS)への準拠によって、カード情報の適切な管理措置を実現することが求められます。
インターネット上であろうが店舗であろうが、カード情報を取り扱う法人組織においては、こうした改正割賦販売法施行で求められる対応ができているかを見直すとともに、決済システムを狙うサイバー攻撃に対するセキュリティ強化を検討していくことをお勧めします。詳細については、レポート「決済システムを狙うサイバー脅威と対策 -改正割賦販売法で求められる対応-」を参照してください。
決済システムを狙うサイバー脅威と対策 -改正割賦販売法で求められる対応-
また、総合サーバセキュリティ製品「Trend Micro Deep Security™」を活用して、PCI DSS 準拠を支援するための資料もこちらからダウンロードできます。
- ※1 http://www.bbc.com/news/technology-39642172
- ※2 https://arbys.com/security/
- ※3 https://www.scmagazine.com/chipotle-announced-a-breach-of-its-payment-card-system/article/653103/
- ※4 https://www.reuters.com/article/us-brooks-brothers-cyber-idUSKBN1882QU
- ※5 https://www.scmagazine.com/kmart-announced-a-pos-breach/article/665827/
- ※6 https://corporate.buckle.com/about/data-security-incident
- ※7 https://www.zdnet.com/article/hyatt-hotels-hit-by-credit-card-data-stealing-malware-again/
- ※8 https://newsroom.forever21.com/releases/forever-21-reports-findings-from-investigation-of-payment-card-security-incident
- ※9 https://www.jasonsdeli.com/data-breach
- ※10 http://fortune.com/2018/03/09/applebees-hack-malware-credit-card-data/
- ※11 https://www.reuters.com/article/legal-us-hudson-s-bay-databreach/saks-lord-taylor-hit-by-payment-card-data-breach-idUSKCN1H91W7
- ※12 http://brinker.mediaroom.com/ChilisDataIncident