カード情報漏洩について

2021/1/17

消費者庁、経済産業省は、令和2年2⽉13⽇に、インターネットショップのサイトのぜい弱性等が狙われたクレジットカード情報の漏えい被害が増えていると指摘し、注意を呼びかけました。
クレジットカード 番号等の漏えい件数は、その時点で約14万件確認されているとのことです。
⾏政の注意喚起にも関わらず、その後も、同様の⼿⼝によるものと思われる情報漏洩事案が多数、発⽣しているようです。
消費者としては、引き続き注意が必要ですし、事業者としては、情報漏洩の原因ごとに対策を講じることが求められます。

消費者庁、経済産業省の公表の概要

消費者庁、経済産業省の公表⽂によると、最近の⼿⼝は、
消費者がネットショップサイトで、正規の決済画⾯に、そっくりな偽の決済画⾯に誘導され、偽画⾯と気付かずにカード番号等を⼊⼒してしまう。
その後、「決済が失敗しました」等のエラーメッセージが表⽰され、正規の決済画⾯に移動し、再度クレジットカード番号を⼊⼒する。
その後は、正常にカード決済が完了するため、後⽇、ネットショップから消費者の元へ商品が発送されるなどする。
というものです。

商品購⼊等は正常にできているため、消費者はカード情報が盗まれていることに気付かないうちにカード番号等の情報が盗まれてしまいます。
盗まれたカード番号等の情報は、悪意ある第三者により不正に利⽤されてしまい、その利⽤代⾦もクレジットカード会社から請求される可能性があります。

消費者庁、経済産業省の公表⽂は、以下です。

https://www.caa.go.jp/policies/policy/consumer_policy/caution/internet/pdf/consumer_policy_cms104_200218_01.pdf

「消費者庁 カード情報漏洩」などで、検索してもたどり着けると思います。

消費者としてできる漏洩対策

個⼈情報⼊⼒画⾯で、⼊⼒する前に正規画⾯であるか、よく確認してください。
ネットショップによっては、商品代⾦の⽀払⽅法が複数⽤意されていると思います。
正規画⾯か偽画⾯か⾒極めがつかない場合は、クレジットカード決済以外の決裁⽅法を選択することも検討してください。
個⼈情報を⼊⼒した後に、「決済が失敗しました」等のエラーメッセージが表⽰された場合は、すでにカード情報等が盗まれてしまっている可能性があります。
その場合は、クレジットカードの利⽤を停⽌し、再発⾏を求めるなどの⼿続きを取ってください。
そのまま利⽤する場合、クレジットカード会社が提供している利⽤明細を必ずご⾃⾝で ⾒て、⾝に覚えのない利⽤がないかチェックしてください。

事業者(特に加盟店)の⽅へ

経済産業省は、2019年12⽉20⽇、「株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について(注意喚起)」と題して注意を呼び掛けています。
以下の点を指摘しています。
誤解が⽣じない様にするため、以下、引⽤します。

・株式会社イーシーキューブが開発・提供するインターネットサイト構築パッケージ「EC-CUBE」の脆弱性等を突いたインターネットショップのサイトの改ざん等により、クレジットカード番号等が窃取されるといった被害が多発しております。
・2019年現在までにインターネットショップが公表した漏えい事案において、約14万件のクレジットカード番号等が漏えいしていることが確認されております。
・このような甚⼤な被害が発⽣している状況に鑑み、インターネットショップの皆様におかれましては、「EC-CUBE」のご利⽤状況について再度検証を⾏い、ご利⽤を継続する場合には、的確な安全対策を⾏ってください。

「EC-CUBE」とは、株式会社イーシーキューブ(EC-CUBE CO.,LTD.)が開発するオープンソースのEC向けコンテンツ管理システム(CMS)です。
ネットショップにおいて、広く利⽤されており、そのため被害が拡⼤する原因となっています。
EC-CUBEが全て情報漏洩の原因となっているわけではありません。
EC-CUBEの⼀部バージョン(EC-CUBE2系バージョン)に脆弱性があるということであり、EC-CUBEの全てに問題があると指摘されているわけではないようですので、誤解のないようにご注意ください。
イーシーキューブ社では、問題点を指摘し、「EC-CUBEでは特に2系をご利⽤の店舗でインストール時の不備や、過去発表された脆弱性対応がなされていない等をつかれて攻撃されるケースが多く発⽣しています。」などと注意喚起し、利⽤者に対して対策を講じるよう呼びかけています。
詳細は、イーシーキューブ社ウェブサイトをご確認ください。

カード情報漏洩事案の発⽣状況については、「キタきつね」というブロガーのブログ、「Fox on Security」に詳しく、かつ分かりやすく説明されています。
この問題に関⼼のある⽅は、参照されることとお勧めします。
「Fox on Security カード情報漏えい」などのワードで検索できると思います。
以上

タイトルとURLをコピーしました