全2111文字
複数のECサイト事業者が2024年8月から11月にかけて、不正アクセスによってクレジットカード番号やその有効期限などの情報が漏洩した可能性があるとして相次いで謝罪した。
最近のクレジットカード情報漏洩の被害
(出所:日経クロステック)
[画像のクリックで拡大表示]
このうち、上記に挙げた6社の被害には大きな共通点がある。それは、2024年5月までの3~4年の間にECサイトでの購入時に利用されたクレジットカードが対象だということだ。
漏洩が長期間であることから、SNSのX(旧Twitter)には事業者がECサイトでクレジットカード情報を保持していたためにそれが漏洩したのではないかという指摘が複数見つかった。これについてWebセキュリティーに詳しいEGセキュアソリューションズの徳丸浩取締役CTOは「ECサイト事業者はクレジットカード情報を保持していない。サイトの改ざんによって窃取された」と指摘する。
クレジットカード情報を別サーバーに送信させる
徳丸CTOは、「ECサイトの事業者は、2018年6月に施行された割賦販売法によりクレジットカード情報の非保持化が義務付けられている」と説明する。
割賦販売法では、顧客のクレジットカード情報をECサイト事業者が保持してはならないと定めている。そのため、攻撃者はECサイト事業者のシステムに侵入するだけではクレジットカード情報を盗むことはできない。一方で非保持化が義務付けられていない氏名や住所、電話番号、ログイン情報などの個人情報は侵入を許すと盗まれる可能性が高まる。
