Header
概要
- この記事は、2024年に公表された、ECサイトへのサイバー攻撃による国内クレジットカード情報漏えいインシデントをまとめたものです
- 扱わないもの
- 2024年に被害があり、2025年以降に公表されたものは含みません
- フィッシングによる漏えいなど、ECサイトへのサイバー攻撃に起因しないクレジットカード情報漏えいについては扱いません
- 海外のクレジットカード情報漏えいについては扱いません
本文:2024年に公表された、ECサイトへのサイバー攻撃による国内クレジットカード情報漏えいインシデントまとめ
2024年の傾向
インシデント件数
- 2024年に公表された、ECサイトへのサイバー攻撃による国内クレジットカード情報漏えいインシデント件数は、33件となった
- C社調査データによると、2021年の75件がピークとなっており、それと比較して半減しており減少傾向にあるといえる
非保持型とPCI DSS型の割合
- 2018年6月1日施行の改正割賦販売法の定めにより、国内のECサイトには非保持型とPCI DSS型とがある
- 非保持型がインシデントの大半を占める傾向は、法改正以来一貫している
- そもそも、PCI DSS型でこのようなインシデントが発生すること自体が珍しい
| タイプ | 件数 | 割合 |
|---|---|---|
| 非保持型 | 32件 | 97% |
| PCI DSS型 | 1件 | 3% |
クレジットカード情報漏えい件数
年間合計
- 2024年に公表された、ECサイトへのサイバー攻撃による国内クレジットカード情報漏えいインシデントでの、クレジットカード漏えい件数の合計は、50万1,437件となった
- C社調査データによると、インシデント件数のピークである2021年の合計漏えい件数は約26万件であることを踏まえると、インシデント1件あたりの被害規模は増加拡大の傾向にあるといえる
インシデント1件あたりの漏えい件数
- 前項で述べたとおり、インシデント1件あたりの被害規模は増加傾向にあり、2021年の漏えい件数が平均3千件台だったことを踏まえると、大まかに見て平均が5倍に増えている
- 経験でいえば、2021年の頃の個人的な感覚として、インシデント1件で漏えい件数が1万を超えると大型の被害という感覚であった。2024年は、1万件を超えるのが珍しくなくなり、数十万件規模の漏えいが頻繁に公表された
- 本来、この類のインシデントは0件であるべきであって、数十万件規模の漏えいのあるインシデントが当たり前にあることが危機的な状況と感じる
| 項目 | 値 |
|---|---|
| 平均値 | 15,197件 |
| 最小値 | 174件 |
| 10パーセンタイル | 1,486件 |
| 25パーセンタイル | 2,726件 |
| 中央値 | 5,069件 |
| 75パーセンタイル | 16,682件 |
| 90パーセンタイル | 51,437件 |
| 最大値 | 71,943件 |
インシデント発生を事業者が認知してから公表までの期間
- 事業者がインシデントを知ってから公表に至るまでの期間は、概ね3〜4か月を要するケースが多い。これはこの数年間であまり変わらない
| 項目 | 値 |
|---|---|
| 平均値 | 141日 |
| 最小値 | 47日 |
| 10パーセンタイル | 70日 |
| 25パーセンタイル | 100日 |
| 中央値 | 136日 |
| 75パーセンタイル | 165日 |
| 90パーセンタイル | 225日 |
| 最大値 | 326日 |
漏えい期間
- クレジットカード情報の漏えいの期間は、概ね3年前後となっており、この傾向はこの数年間で特に変わらない
- 3年程度の期間になる理由として推測されることとしては、まず第一に、不正利用者の立場からするとクレジットカードの有効期限前に不正使用をして現金化する必要があること、不正利用の被害者が警察やクレジットカード会社に連絡して被害が明らかになってから、警察・クレジットカード会社からの連絡により侵害されたECサイトの事業者がインシデントを認知するケースがほとんどを占めることが原因であると考えられる
- このことは、ECサイトの事業者がサイバー攻撃やサイバー攻撃によるシステム侵害を検知する仕組みを備えていないか、または備えていても適切に検知システムや検知する体制が機能しておらず、早期発見できていないことを示している
- ECサイトの性質上、被害期間に比例して被害規模も大きくなることから、早期発見は大きな課題といえる
| 項目 | 値 |
|---|---|
| 平均値 | 969日 |
| 最小値 | 3日 |
| 10パーセンタイル | 340日 |
| 25パーセンタイル | 873日 |
| 中央値 | 1,057日 |
| 75パーセンタイル | 1,148日 |
| 90パーセンタイル | 1,208日 |
| 最大値 | 1,601日 |
クレジットカード不正利用について
少しテーマから逸れるが、クレジットカードの不正利用について、関連する情報を簡単に述べる
クレジットカード不正利用の傾向
- 2000年代まで、クレジットカード不正利用の多くはカード偽造によるものだった。これは当時のクレジットカードが磁気テープによるもので、偽造しやすかったということが理由である。カード偽造は、クレジットカードにICチップが導入されるにつれて減少した
- かわってクレジットカード不正利用の主要な原因になったのが、クレジットカード情報の漏えい・窃取によるものである
主なクレジットカード情報漏えいパターン
- クレジットカード情報漏えい・窃取は、大まかに2種類の脅威によって行われていると考えられる
- 一つは、フィッシング詐欺によるもの
- もう一つは、ECサイトからのクレジットカード情報漏えいによるもの
事業者がインターネットでクレジットカード決済をする方法
事業者がインターネットでの商品販売にクレジットカード決済を使用するには、大まかに以下の方法がある
- Amazonや楽天などのプラットフォームを利用する
- クレジットカード決済代行サービスを利用する
- 独自にクレジットカード決済機能を持つECサイトを構築・運営する
非保持型について
非保持型とは
- 非保持型とは、サーバー内部にクレジットカード情報を保存しないECサイトのことである
非保持型におけるインシデント発生原因
- サーバー内部にクレジットカード情報を保存していなくても、サーバーに脆弱性があり、脅威アクターが脆弱性を悪用してECサイトを侵害しペイメントシステムを改ざんすることで、セキュリティコードを含むクレジットカード情報の窃取が可能になる
非保持型における対策
- ECサイトの脆弱性対策の強化
- サイバー攻撃の検知の仕組みの導入・強化、および検知体制の強化
経産省や業界団体等の取り組み
「クレジットカード・セキュリティガイドライン」
IPA(独立行政法人情報処理推進機構)
個人情報保護委員会
経産省
-
クレジットカード・セキュリティ官民対策会議
(2024年4月9日〜) -
クレジットカード決済システムのセキュリティ対策強化検討会
(2022年8月4日〜2023年1月20日)
PCI DSS型について
PCI DSSとは
PCI DSSは、クレジットカード情報の保護、およびクレジットカード決済を安全に行うための、クレジット業界における国際標準基準である
正確な情報については、下記サイトを参照
非保持型と比較した、PCI DSS型の傾向
2024年に発生した、PCI DSS型のインシデントでは、事業者が国内で知らない人のいないような大手企業だったことを踏まえて、非保持型に比べると大幅に被害状況を低く抑えていることがわかります
非保持型とPCI DSS型との比較( 2024年のインシデント、数値は平均値 )
| 項目 | 非保持型 | PCI DSS型 |
|---|---|---|
| クレジットカード漏えい件数 | 15,629件 | 1,376件 |
| 被害期間 | 999日 | 3日 |
| インシデント認知から公表まで | 142日 | 100日 |
- 特に被害期間が全く違うことが特徴といえます。早期検知による早期発見と早期対応が被害を抑えるために必要であるといえます
- 一方で、今回の件ではPCI DSS型なのに、既知の脆弱性を悪用された、とされており、なぜこれを防げなかったのかが、課題であるといえます。また、PCI DSSにしては3日というのは遅いです。なぜ0日ではないのでしょうか
- 3日で1,376件も漏えいするような大規模サービスですので、もしこれが3年間もの間、漏えいし続けたとしたらゾッとする規模の被害になったことでしょう
- 大規模サービスを手がける事業者はPCI DSS必須にして欲しいとすら思います
PCI DSSに準拠したシステムの傾向
- これは個人的な思い込みですが、PCI DSSに準拠することはなかなか大変なことであるため、PCI DSSに準拠することが目的化してしまい、本来あるべき、ECサイトでのクレジットカード決済・クレジットカード情報の保護から関心が逸れてしまうのではないかと憂慮します
- 2021年に発生した、とあるクレジットカード決済代行サービスにおける大規模なクレジットカード情報漏えいインシデントについて、このシステムはPCI DSSの認証を受けたものでした。しかしその後の調査で、この企業がその審査の際に、当該システムの脆弱性を隠蔽したり、その他審査を逃れるための行為があったことから、この企業は行政処分を受けています
- 2024年に1件発生したPCI DSS型のインシデントについても、航空機事故のように、本当にPCI DSSを遵守していたのか、PCI DSSを遵守してもインシデント発生を防げないような脆弱な部分が現在のPCI DSSに存在しPCI DSSそのものの改善が必要とされているのか、今後の検証が望まれます
関連記事
拙記事の関連記事
Footer
仲間を募集しています!
ARIではエンジニア・ITコンサルタント・PM職全方位で仲間を募集しております。
カジュアル面談、随時受付中です!
ご興味ある方はこちらをご覧ください。