ECサイトからのクレジットカード情報漏えいを防ぐための技術的な対策

ECサイトを取り巻く状況の変化

近年、ECサイトの普及に伴い、クレジットカード（以下「クレカ」といいます）に係る情報（以下「クレカ情報」といいます）の漏えい事案が増加しています。

ECサイト普及の背景

新型コロナウイルスの感染症拡大の対策として、外出自粛の呼びかけおよびECの利用が推奨された結果、各社はその対応を迫られ、EC事業の開始を検討する企業が増加しています。
EC事業の検討にあたっては、大きく分けて以下の2パターンが考えられます。

②に関しては、大手ECモールでの手数料を考慮して、比較的容易にECサイトを構築できるソフトを利用して自社ECサイトを開設する企業も増加しています。

クレジットカード情報漏えい事案の増加

そして、ECサイトの増加に伴い、消費者によるクレカ番号の入力機会も増加した結果、ECサイトからのクレカ情報漏えい事案（以下「クレカ情報漏えい事案」といいます）も増加しています。
日本クレジット協会の調査結果によると、国内で発行されたクレカの不正利用被害額は近年増加傾向にあり、2021年には過去最高額の約330億円に上りました。これらの被害はECサイトからのクレカ情報漏えいによるものとは限りませんが、クレカの番号盗用被害の割合にも顕著な増大傾向が見られます。

国内発行クレジットカードにおける年間不正利用被害額推移

クレジットカード情報漏えいのよくある原因

クレカ情報漏えい事案とは、ECサイトで商品を購入する際に、決済画面においてクレカ情報を入力のうえ決済を行いますが、その際に入力したクレカ情報が盗み出され、不正に使用されるという事案をいいます。
クレカ情報を保持しない設定を実施しているサイトにおいても、サイト改ざんによるクレカ情報等の流出が起きています。

以下、ECサイトからのクレカ情報漏えいのよくある原因について説明します。

Webスキミング

近年のECサイトのクレカ情報漏えいの主な原因の1つとして、Webスキミングと呼ばれる攻撃手法があげられます。この攻撃は、攻撃者がECサイトの脆弱性などを利用して、ECサイト上の決済アプリケーションにJavaScript等の不正なコードを挿入することにより、注文者が入力した決済情報がECサイトのみならず攻撃者にも送信されるよう改ざんし、情報を窃取する攻撃です ¹。

Webスキミングによりクレカ情報等が窃取されるまでの流れ

フィッシングサイトによる情報窃取と同じように、注文者に氏名や住所、電話番号、クレカ番号などをフォームへ入力させる形なのですが、Webスキミングの場合、フォームなどは本来のECサイトのものが使用されており、注文者は違いに気づくことができないという特徴があります。

このように、WebスキミングではECサイト側のサーバーからデータが盗まれるわけではなく、注文者のブラウザから攻撃者に対し、セキュリティコードを含むクレカ情報が直接送信されるため、カード情報非保持化は同攻撃に対する対策とはなりません。

XSS（クロスサイトスクリプティング）攻撃

なお、攻撃の起点となるECサイトの決済アプリケーションへの不正なJavaScriptコードの挿入はどのようになされるかという点について、XSS（クロスサイトスクリプティング）攻撃が確認されています ²。

すなわち、攻撃者が、XSSに関する脆弱性が存在するECサイトの注文フォームに対し、不正なスクリプトが挿入された購入処理（注文）を行います。管理者が当該注文を確認する際に管理者PC上で不正なスクリプトが実行され、管理者PCに保存された認証情報（クレデンシャル情報）が攻撃者に送信されます。その結果、攻撃者は当該認証情報を利用してECサイトの管理画面から不正にログインを行い、ECサイトの決済アプリケーションに不正なJavaScriptコードを挿入したり、WebShellを設置するという流れです。

XSS攻撃の概要（一例）

ECサイト運営企業が検討すべきセキュリティ対策

ECサイトの脆弱性診断、定期的なアップデート

上記のとおりXSSに関する脆弱性が攻撃の起点となっていることから、ECサイトの脆弱性診断を実施したり、定期的なアップデートを実施したりして、脆弱性を取り除くことが一次的な対策となります。

WAF（Web Application Firewall）の導入

もっとも、脆弱性を発見できていない場合や、何らかの都合ですぐに修正を行えない場合も考えられます。そのような場合には、WAF（Web Application Firewall）の導入が有効な手段となります。
WAFは、WAFを導入したウェブサイト運営者が設定する検出パターンに基づいて、ウェブサイトと利用者間の通信の中身を機械的に検査します。脆弱性を悪用した攻撃からウェブアプリケーションを防御する、脆弱性を悪用した攻撃を検出するといった機能があります。

個人情報保護委員会が2021年8月に実施した「ECサイトへの不正アクセスに関する実態調査」によると、回答した71社のECサイト運営事業者のうち40社（56％）がWAF等のセキュリティ製品を導入していると回答しています。

CSP（Content Security Policy）の導入

上記のとおり脆弱性管理を徹底する、WAFを導入するといった対策を行うことは重要です。ただし、これらの対策を回避する攻撃手法も確認されています。
その対策の1つとしてCSP（Content Security Policy）があげられます。CSPとはサーバーからのレスポンスにContent-Security-Policyヘッダーを設定することで、ブラウザに対し、設定したルールに沿ってスクリプトの読み込みや実行等の制限をかけることができる技術です。

CSPを活用することにより、ECサイトのユーザに対して、ECサイト管理者が想定していない宛先との通信を防止することができます。そのため、注文者のブラウザから攻撃者に対し、セキュリティコードを含むクレカ情報が送信されることを防止することができます。
ただし、CSPの導入はアプリケーションの動作に影響する可能性があるので、事前に導入しても問題ないことを確認する必要があります。