fjコンサルティング株式会社(本社:東京都千代田区、代表取締役CEO:瀬田陽介、以下「fjコンサルティング」)と株式会社DataSign(本社:東京都港区、代表取締役社長:太田祐一、以下「DataSign」)は、ECサイトでのクレジットカード情報窃取の手口として急増する「オンラインスキミング」の手口とその対策について解説する動画を制作しました。

背景

2018年6月の改正割賦販売法施行により、クレジットカード加盟店にもクレジットカード情報保護が義務付けられました。その実務上の指針と位置付けられる『クレジットカード・セキュリティガイドライン』(以下『セキュリティガイドライン』)では、ECサイトに対して、決済代行事業者が提供する「リンク型決済」もしくは「JavaScript(トークン型)決済」のいずれかを導入することにより、自社システムでカード情報を通過、処理、保存しない「非保持化」を実現することを原則的に求めています。この指針に従い、国内の多くのECサイトではカード情報保護を実現しています。

ところが、2018年夏頃から、非保持化を対応済みのECサイトでカード情報が流出する事件が相次いでいます。その手口は、消費者が買い物をするためにECサイトで入力したカード情報を、何らかの方法で不正犯にも送信させることにより、決済に必要となるカード番号、有効期限、セキュリティコードを窃取するというものです。対面加盟店では、古くから磁気ストライプをそのままコピーして偽造カードを作成する「スキミング」という手口が存在しましたが、そのオンライン版ということで「オンラインスキミング」と呼ばれています。『クレジットカード・セキュリティガイドライン』では、非保持化を達成した加盟店にも自ら必要な追加のセキュリティ対策を求めております。

同様の事件は世界中で多発しており、PCI データセキュリティ基準(PCI DSS)などのクレジットカードセキュリティ基準の維持・管理を担うPCI Security Standards Council(PCI SSC)からも2019年8月に注意喚起のプレスリリースが発表されました。しかしECサイトからの情報流出はいまだに増え続けており、その対策が急務となっています。

ただし、その発生のメカニズムについては、通常の文書や図解だけでは複雑になり、理解しにくいことから、このたびオンラインの解説動画を制作いたしました。動画で解説することにより、クレジットカード決済を導入している多くのECサイト運営者(EC加盟店)に知っていただけると考えております。 発生のメカニズムを理解いただきましたら、基礎的な対策についても解説しておりますのでEC加盟店のみならず、それらを顧客として持つ決済代行事業者にも積極的にご紹介いただければと考えております。

動画の概要

実例を元に、オンラインスキミングの3つのパターンと、防止のための一般的な対策について、fjコンサルティングの瀬田陽介が解説します。また、自社サイトで改ざん対策を十分に行っていても起こり得る「外部JavaScriptの改ざん」によるカード情報流出を水際で防止するための対策として有効な「Content Security Policy」の仕組みと動作について、DataSignの太田祐一がデモンストレーションを交えて解説します。

【内容】(約20分)

  1. オンラインスキミングとは
  2. オンラインスキミングの原因と一般的な対策
  3. 外部JavaScriptの改ざんによる第三者へのカード情報送信(デモンストレーション)
  4. Content Security Policyによる防御(デモンストレーション)

【対象】

  1. 自社でECサイトを運営するクレジットカード加盟店(EC加盟店)
  2. EC加盟店にショッピングカート機能等を提供するECプラットフォーム事業者
  3. 決済代行事業者

※1 PCIデータセキュリティ基準(PCI DSS)

クレジットカードの国際ブランド5社(American Express/ Discover/ JCB/Mastercard/ Visa)による、ペイメントカードに関する業界共通のグローバルセキュリティ基準https://www.youtube-nocookie.com/embed/WLdf2QV9UVY

Youtube: オンラインスキミングとその対策

今後の展開

オンラインスキミングをはじめ、オンラインで個人情報を窃取する犯罪が増加しています。fjコンサルティングとDataSignでは、新しい攻撃手口に対応した「オンライン上で顧客情報を守るためのセキュリティ」をテーマとしたオンラインセミナーの開催を4月下旬に計画しております。

fjコンサルティング株式会社について

fjコンサルティング株式会社は、PCI DSS準拠・運用支援や改正割賦販売法対応などのキャッシュレスセキュリティ分野のコンサルティングの経験を元に、お客様の情報セキュリティ強化とコンプライアンス対応を支援しています。事業を通して、少子高齢化による労働力不足への対応として喫緊の社会課題である、「キャッシュレス社会」の安心の実現に貢献します。
代表取締役CEO:瀬田陽介
https://www.fjconsulting.jp/


株式会社DataSignについて

株式会社DataSignは、データ活用の透明性を確保し、生活者個人を起点としたデータ流通を実現することで、生活者も企業も公正に安心してパーソナルデータを活用できる世界を実現するために設立され、ウェブサイトの透明性や安全性の確保などのプロダクトを法人向けに提供する「DataSign FE」と、日本初となる情報銀行の通常認定を取得した生活者向けサービスであるパーソナルデータ管理ツール(PDS内蔵情報銀行サービス)「paspit」を提供しています。

代表取締役社長:太田祐一

URL: https://datasign.jp/