クレジットカード情報を狙ったサイバー攻撃が、世界規模で深刻化している。日本国内でも、カード情報を窃取するPOSマルウエアが確認された。脅威の多様化・深刻化に対し、商品/サービスの決済でカード情報を扱う企業はどのような対策を打つべきなのか。カード情報を扱う企業向けのセキュリティ基準の普及に取り組む「日本カード情報セキュリティ協議会」の面々に、脅威の状況と対策について聞いた。
米国では2013年ころからクレジットカード情報の大量漏えい事件が相次いでいます。日本国内でのクレジットカード情報を狙った脅威の状況は。
武藤氏 ハッカー集団は年々大規模になり、グローバルに連携して攻撃を仕掛けてきています。窃取されたカード情報は、テロ組織の資金の一部になっているとも指摘されています。一企業の情報システム担当者が、片手間で行うセキュリティ対策では、もはや対抗できない状況です。
日本カード情報セキュリティ協議会は、2009年4月の設立当初からECサイト運営会社やクレジットカード会社、決済代行事業者を対象に、カード情報保護の重要性を啓発してきました。しかし、最近はコンビニエンスストアや鉄道会社の窓口などでも、クレジットカードが利用できるようになっています。攻撃者から見れば、攻撃対象となるターゲットは増え続けているわけです。
鍋島氏 クレジットカードに関する犯罪は、2つに大別されます。1つは偽造クレジットカードや番号盗用による「不正利用」。もう1つは、店頭でのスキミングやクレジットカード情報が集約されている企業のシステムにサイバー攻撃を仕掛ける「クレジットカード情報の窃取」です。
「不正利用」については、かつては偽造カードで高額商品を購入し、換金するといった手口が多かったのですが、今は盗んだクレジットカード番号によるネットショッピングなどでの番号盗用のほうが圧倒的に多くなっています。
「クレジットカード情報の窃取」について最近注目されているのはPOS(販売時点情報管理)システムを狙ったサイバー攻撃です。POS端末に感染してメモリーなどからカード情報を収集し外部の犯罪者へ送信するマルウエアが、米国で情報漏えい事件を続発させたのに続いて、2014年には日本国内でも検出されています。
ペイメントカード情報の安全向上を目的に2009年4月設立。IT企業を中心に現在139社が参加。カード情報を扱う企業向けのセキュリティ国際基準「PCI DSS」の普及・啓発を核に、国際カードブランドやPCI SSC(Payment Card Industry Security Standards Council)と連携して活動している。