大切なクレジットカード情報を守る「PCI DSS」による情報保護：セキュリティ強化塾（1/4 ページ）

増えるクレジットカード情報の漏えい事件。今、Webサイト運営企業は顧客情報をどう守るのか？　セキュリティ標準「PCI DSS」を再確認する。

[キーマンズネット]

　大手教育事業者による空前の規模の情報漏えい事件が耳目を集める一方、クレジットカード情報の漏えい事件も深刻化する。特にECサイトを運営する企業での情報漏えい、クレジットカード情報の漏えいと不正利用は企業存続をも左右する重大事件に発展しかねない。

　コスト最適な形でリスクを最小限にするためにはどうすればよいのだろうか。長年、情報漏えい防止に注力してきたクレジットカード業界が依拠するセキュリティ標準「PCI DSS」は、その疑問への1つの解答として生かせそうだ。今回は、カード不正使用被害の現状と、PCI DSSの役割や内容について紹介しよう。カード業界に限らず、全ての組織に共通する対策がそこにある。

POS端末（POSレジ）がウイルス感染、重要データが攻撃者に

　カード偽造手段の「スキミング」をご存じの人が多いだろう。行楽地などの店舗で買い物や食事などの支払いをカードで行うと、従業員が手元の読取り装置でカードの磁気情報を読み取って（この行為がスキミング）カードを偽造し、不正に使用する犯罪だ。

　この手口は古くからあり、例えば、2005年に逮捕された国内ゴルフ場支配人を含む偽造グループによる事件では、ゴルフ場の利用客のキャッシュカードをスキミングして偽造、監視カメラで撮影した貴重品金庫の解錠番号をカードの暗証番号として利用して多額の現金を不正に引き出す手口が使われた。

　2013年には、タクシー運転手らが乗客のクレジットカードをスキミングしてカードを偽造、不正に利用した事件で逮捕されたケースが大きく報道された。スキミングは海外を含めてカード偽造の一般的な手口だ。

　しかし、直接のスキミングは一度にそれほど大量の情報窃取ができない。特に海外で大問題になるのがPOSレジからのクレジットカードやデビットカード情報の漏えいだ。2013年に発生した米国大手小売業者の事件では、およそ半月ほどの間にカード情報4000万件、顧客情報7000万人分が流出した。ある店舗のPOSレジがウイルスに感染し、他のPOSレジや本社サーバなどに侵入して情報を収集、犯人側に送信したものとされる。

　多くのPOSレジはカード情報を端末内に保存せず、暗号化して決済代行業者などに送信するだけだが、カード読取りの一瞬間だけ、POSレジのメモリにカードの生の磁気情報が書き込まれる。そのタイミングを狙って情報を横取りする機能をウイルスが持っていた。

　トレンドマイクロによると、この手のウイルス検出数は2013年は22件だったものが、2014年1〜3月の3カ月間だけで156件を数え、約7倍の増加を示した。

　日本でも多くの店舗が汎用（はんよう）OSを搭載したPOSレジを使用する。メンテナンス用のUSBメモリがセットできたり、インターネットに接続できたりするシステムが多い。にもかかわらず、アンチウイルスや外部メディア接続制御などへの対応がPCの場合と比較して段違いに遅れている。

ECサーバへの不正アクセス、ウイルス感染も続く

　また、ECサーバへの不正アクセスやシステムの脆弱（ぜいじゃく）性を狙った攻撃も同様に大規模な流出を引き起こす。あるECサイトから1160件のカード情報、カード名義人名、有効期限、セキュリティコードが不正アクセスによって外部に流出し、カード決済機能の停止を余儀なくされた。

　また、別の複数のECサイトを運営する会社では最大約9万5000件の決済情報が漏えいした可能性がアクセスログ解析によって判明し、セキュリティ体制の見直しを行った。さらに、サイト会員へのなりすましによって最大約2万4000件のクレジット情報を不正に閲覧された可能性を公表したサイトもある。類似の事件は他に幾つも発生した。

　組織内部の関係者の不正行為による漏えいも大きな問題だ。2014年1月に韓国で、カード会社大手3社の顧客データ1億件以上がカード情報もろとも業務委託先の情報セキュリティ会社の社員の手により外部に流出したことが発覚した。

　2014年7月に公表された国内大手教育事業会社の情報漏えい事件では、カード情報の漏えいは確認できていないものの、空前の約2300万件の顧客データ漏えいが明るみに出た。委託先の社員がスマートフォンに情報をコピーして外部名簿業者に販売したとして逮捕された。当の教育事業会社が損害賠償などに費やす金額は本稿執筆時点で260億円とされる。

　表1に、クレジットカードとキャッシュカードの不正利用被害の状況を示す。2013年には約79億円もの不正使用被害があり、企業の存続を脅かしかねない深刻な状況が続いていることが分かる。カード会社だけでなく、ECサイトやPOSシステムを運用する全ての企業にとってカード情報の保護は喫緊の課題だ。

表1 クレジットカード不正使用被害（上）とキャッシュカード不正利用被害（下）の現状（出典：日本クレジット協会、金融庁）

　カード情報漏えいや不正使用を防ぐためのクレジット業界のセキュリティ標準に「PCI DSS（Payment Card Industry Data Security Standards）」がある。極めてセンシティブな情報を扱う業界だけに、一般的な情報セキュリティマネジメント標準であるISMS（情報セキュリティマネジメントシステム）などよりも具体的な項目が規定され、カード情報の取り扱いやECサイト運営などに携わる企業以外でもセキュリティ実装の参考になる部分が多い。以下に、そのエッセンスを見ていこう。