企業のウェブサイトがサイバー攻撃に遭い、クレジットカード情報が盗み取られる事件が相次いでいる。
7月には、スポーツ団体を運営する企業のウェブサイトに不正アクセスがあったことが判明。4月28日までの1年8カ月にわたってサイト内でチケットを購入したり、オフィシャルファンクラブへの入会や更新をした最大1万8000件を対象に、クレジットカードや住所、氏名、電話番号、Eメールアドレスが流出した痕跡が見つかった。
それより前の6月には自動車関連雑貨販売店のウェブサイトで、カード番号や有効期限などが流出した可能性があり、その対象者が2万8000件余りにのぼることがわかった。同社の場合には、ウェブサーバー内に「バックドアプログラム」と呼ばれる遠隔操作ツールが秘密裏に仕掛けられ、プログラムが改ざんされた形跡があるという。
■高まるカード情報漏えいのリスク
日本クレジット協会の発表によれば、2014年のクレジットカードの不正使用被害額は105億9000万円。5年ぶりに100億円台に達した。偽造カード被害額が減る一方で、ウェブサイトなどを通じた番号盗用被害の増加が続いているためだ。
世界最大のクレジットカード決済ネットワークVisaの日本法人であるビザ・ワールドワイド・ジャパンでセキュリティ対策を担当する井原亮二・シニアディレクターによれば、「国別のデータは開示していないが、日本でのカード情報流出の件数は増加傾向にある」という。「被害を受けているのはEコマースサイトが多く、セキュリティ対策が進んでいないことが原因。簡単な手口でカード情報を盗むことができるため、犯罪者にとって主要なターゲットになっている」と井原氏は言葉を続ける。
深刻な米国の被害状況
クレジットカード取引に限ったものではないが、大手セキュリティソフト会社のトレンドマイクロが6月に発表した「組織におけるセキュリティ対策実態調査2015年版」では、サイバー攻撃や内部犯行による被害の深刻さが浮き彫りになっている。
トレンドマイクロは官公庁や自治体、民間企業などを対象に3月に調査を実施。情報管理責任者など役職員1340人から回答を得た。
そこで判明した事実として、「2割近く(19.7%)がEコマースサイトを含む公開システムからの情報漏えいを経験している」(染谷征良・トレンドマイクロ上級セキュリティエバンジェリスト)。
また、実害については、「顧客、取引情報の漏えい」が13.0%、「システム・サービス停止」が16.1%にのぼっているという。「事業機会の損失や復旧コストがかさむなど、ビジネスに悪影響が出ている」と染谷氏は警鐘を鳴らす。
■情報は国際的な闇市場で売買されている
顧客情報の中でも、クレジットカード情報は換金性が高いために、流出した場合の影響は深刻だ。米大手セキュリティ企業ファイア・アイのコンサルティング事業部・マンディアントのチャールズ・カーマカル・マネジング・ディレクターは「カード情報は国際的な闇市場で売買され、犯罪者集団が利益を得ている」と話す。
米国では2013年から2014年にかけて大手流通企業などのPOSシステムから延べ1億件近いクレジットカードデータが流出し、深刻な被害が発生している。こうした事態を踏まえて、米国では国を挙げて被害を防ぐためにカード本体および加盟店でのPOS端末のICカード化対応を進めている。
これによって今後、カード番号が盗まれてカードが偽造される可能性はある程度減少すると見られているが、「(IC化では)Eコマースでの攻撃を防ぐことはできない。サイバー攻撃に対しては早期の段階で不正を検知するシステムを導入するなどの対策が重要だ」とカーマカル氏は指摘する。
PCIDSSとは何か
Eコマースなどウェブ上での被害を防ぐための有効とみなされているのが、クレジットカードデータの国際的なセキュリティ基準「PCIDSS」(Payment Card Industry Data Security Standard)準拠の取り組みだ。PCIDSSとは、「安全なネットワークの構築・維持」「カード会員データの保護」「ネットワークの定期的な監視およびテスト」など、加盟店など企業が行うべきクレジットカード情報保護の手順を定めた国際標準規格で、12の要件(約400の小項目)が規定されている。
同基準の普及促進団体「PCISSC」(Payment Card Industry Security Standard Council)のジェレミー・キング・インターナショナルディレクターは、「特にEコマースを標的とした不正への対処は世界的に見ても大きな課題。その点で、PCIDSSは適切な保護の水準を提供している」と説明する。
■日本企業の間での認知度は急速に向上
キング氏によれば、「政府や業界の普及啓発活動もあり、日本企業のPCIDSSへの認知度は急速に向上している」という。「2020年の東京オリンピック開催に向けて決済システムを進化させていく中で、PCIDSSを普及させていこうとする取り組みは整合性が取れている」(キング氏)。
もっとも、PCIDSSに準拠するのみならず、常にPCIDSSが求めるデータセキュリティの質を維持し続けることは容易ではない。
世界で4000件以上のPCIDSS監査を実施している米ベライゾンが公表した「2015年度版ペイメントカード業界コンプライアンス調査報告書」によれば、同社の専門チームが過去10年間に調査したペイメントカードデータの漏えい・侵害事案のうち、その発生時にPCIDSSに完全に準拠していた企業は皆無だったという。
同社によれば、特に、「安全性の高いシステムとアプリケーションを開発し、保守する」「ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡、監視する」という2要件については、漏えい・侵害の被害が発生した時点で、問題が起きたすべての企業で準拠できていなかった。「平均準拠率は3年前と比べて格段に上がってきているものの、準拠状況の継続性という点では課題がある」と、ベライゾンジャパン合同会社の岡田正人・事業開発本部部長は説明する。
認定取得が評価されたASJ
ベネッセコーポレーションや日本年金機構など、個人情報の大規模な漏えい事件が相次ぐ中で、情報セキュリティに対する関心が高まっていることは確かだ。
東証マザーズ上場のASJは「PCIDSSバージョン3.0」のレベル1準拠認定を取得したとのニュースリリース発表(6月9日付け)をきっかけに株価がストップ高を記録。「投資家からの問い合わせが相次いだ」(仁井健友・取締役IR部長)という。
同基準の準拠認定取得のためには、約400の小項目をすべて満たさなければならない。同社の場合、11年から脆弱性スキャンテストや認定審査機関によるオンサイト審査といった労力のかかるチェックを受けており、今回、新たに定められたPCIDSSバージョン3.0レベル1の取得にこぎつけた。
ASJでは同基準をクリアするために、セキュリティ対策に関する文書化や「ペネトレーション(侵入)テスト」の準備に相当な労力と時間を費やした。その一方で決済代行業を事業の柱にしようとしている同社にとって、「Eコマースの事業者からの引き合いも相当な数にのぼるなど、認定取得のアナウンスメント効果は大きい」(仁井氏)という。
■ヤフーは早くからPCIDSS準拠に取り組み
Eコマース大手のヤフーは、早くからPCIDSS準拠に取り組んできた企業の一つだ。加藤誠・決済金融カンパニー開発本部部長は、「当社のような大手ネット企業にとって、PCIDSS準拠取得は当然のことと認識している」と話す。
同社の「Yahoo!ウォレット」は、支払いのためのクレジットカードや銀行口座を登録することで、オンラインショッピングやネットオークションなどでスムーズな利用ができる。現在、利用者は3000万人を超える日本でも屈指の決済システムで、そのうち7~8割がクレジットカード決済になっているという。
ヤフーは2008年11月にYahoo!ウォレットの決済環境でPCIDSSバージョン1.1の準拠を取得。それ以降もPCIDSSのバージョンアップごとに取得を重ねており、今年秋には3.0レベル1を取得したいとしている。同社では、カード情報の暗号化やカード番号を保管するデータベースにアクセスできる社員を限定するなど、PCIDSSで定められた取り決めにのっとった業務運営をしている。
低い加盟店の意識
もっとも、PCIDSS準拠は、大手ECサイト運営会社や決済代行業者など一部にとどまっているのが実態だ。
日本では2010年12月の改正割賦販売法施行により、クレジットカード会社に対して、カード番号などの適切な管理が図られるように、加盟店や委託先を指導する義務が盛り込まれた。
これを踏まえて「日本におけるクレジットカード情報強化に向けた実行計画」が日本クレジット協会によって11年に策定された。カード会社、加盟店および決済代行業者が、それぞれ期限を決めてPCIDSS準拠への対応をすることが決まったのである。たとえば、対面型でカード決済件数が多い加盟店の場合は18年3月末まで、などといったぐあいだ。
■東京オリンピックを前に対応の遅れ
しかし、実行計画の策定から4年が経過した現在、Eコマース、対面取引とも準拠状況は芳しくない。協会が明らかにしていないため、詳しい進捗状況はわからないものの、「加盟店は売り上げ増に直結しない投資に消極的な傾向があり、PCIDSSへの対応は進んでいないのが現状」(経済産業省)とみなされている。
こうした中で、日本クレジット協会が事務局を努める業界横断的な組織「クレジット取引セキュリティ対策協議会」が新たに結成され、7月に同協議会がまとめた「中間論点整理と今後の検討の方向性」でも、「現段階で国際基準となっているPCIDSSをセキュリティ水準のメルクマールとし、加盟店の取り組みをサポートする対策の検討を行う」と明記された。
このこと自体は評価すべきだが、課題もある。PCIDSS準拠には多大な労力とコストがかかることや、クレジットカード本体及びPOS端末のIC化対応も急がれる中で、「PCIDSS準拠・IC化対応の優先順位の検討」という文言も盛り込まれたからである。IC化が先行した場合、PCIDSS準拠の取り組みは後回しにされかねない。
経産省は、同協議会の発足に際して「世界最高水準のクレジット取引のセキュリティ環境を整備する」と表明したが、その実現は容易ではない。カード決済を必要とする外国人観光客が増え続け、東京オリンピックを5年後に控える現在、クレジットカード業界では解決すべき問題が山積しているのが実態だ。