タリーズだけじゃない! “クレカ情報”3年詐取も気付けない「ペイメントアプリの改ざん」とは?
頻発しており慣れてしまった感もある個人情報漏えい。この数カ月でタリーズコーヒージャパンや全国漁業協同組合連合会、エーデルワイスなどで発表された事案も見過ごされてしまいそうだが、3社とも3年以上気付けなかったクレジットカード情報の漏えいは深刻な問題をはらんでいる。各社に共通してカード情報搾取の原因となった「ペイメントアプリケーションの改ざん」の内容、対策について解説する。 【詳細な図や写真】漏えい・紛失事故 年次推移(出典:東京商工リサーチ)
頻発する個人情報漏えいとクレジットカード不正利用
個人情報の漏えい事案は年々増加する傾向にあり、最近ではニュースでも100万件を超ける規模での漏えいが報じられても「またか」と思う人が多くなっているのではないか。事実、漏えいの規模があまり大きくない場合にはニュースにならないことが多くなっているようだ。 1ページ目を1分でまとめた動画 個人情報の中でもクレジットカード情報の漏えいは、金銭的な被害に結び付くことが多いため、当事者として見過ごすことはできない。漏えいが発生した場合には、ネット物販事業者やカード会社から連絡がいくためその事実に気づくことなるが、多くの人にとっては他人事でしかないだろう。 磁気カードが多く使われていた10年ほど前にはカード偽造による被害も2割程度あったが、ICチップを搭載したカードの利用が定着し、最近では1%以下となっている。一方で、ネット通販の拡大とともに、カード番号が不正に利用されるケースが9割以上と、被害の金額が毎年増大する傾向にある。
タリーズだけではない、最近のカード情報の漏えい事例
この2024年もクレジットカードの漏えい事案は次々に起こっており、個別案件が話題となるケースも少なくない。一方、この数カ月に各社から発表された起こった以下の3件の内容をみてみると、共通する特徴が浮かび上がってくる。 ・全国漁業協同組合連合会のリリース(2024年8月19日) 全国漁業協同組合連合会 通販サイト「JFおさかなマルシェ ギョギョいち」への不正アクセスによる個人情報漏えいの恐れに関する調査結果のご報告 ・エーデルワイスのリリース(2024年8月28日) 弊社が運営する「オンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ ・タリーズコーヒージャパンのリリース(2024年10月3日) 弊社が運営する「タリーズ オンラインストア」への不正アクセスによる個人情報漏えいの恐れに関するお詫びと調査結果のご報告 ●不正に取得された可能性のあるカード決済情報 紹介した3件に共通するのは、以下の項目が悪意の第三者によって取得された可能性があると発表されており、セキュリティコードまでが不正取得されたという点である。 一般的に購買に利用するクレジットカード情報を顧客データベースに格納する場合であっても、セキュリティコードまで格納することはない。このため、それぞれの事案が保存していたデータの漏えいによって起こったわけではないことがわかる。 ・クレジットカード番号 カード名義人名 有効期限 セキュリティコード ●不正に取得された可能性のある対象期間(対象者数) 各社が情報漏えいに伴い、対象期間3年超の調査を実施し、結果を発表している。発表されたのは、期間中にクレジットカード取引のためにカード番号からセキュリティコードまでの情報を入力した人数で、そのうちどのくらいが不正利用されたかは明らかになっていない。 ・全国漁業協同組合連合会:2021年4月22日~2024年5月14日(1万1844) ・エーデルワイス:2020年4月27日~2024年5月21日(4万5355) ・タリーズコーヒージャパン:2020年10月1日~2024年5月23日(9万2685) ●原因 各社が情報漏えいの原因として発表している表現は多少異なるが、3社に共通するのは「脆弱性をつかれてペイメントアプリケーションの改ざんが行われた」という点だ。 前の対象期間と合わせて読みとれるのは、どの事業者も「3年以上の期間にわたって決済アプリケーションが改ざんされていたことに気がつかなかった」ということである。 つまり、リアルチャネル展開したネット専業ではない事業者の物販サイトが狙われ、ペイメントアプリケーションの改ざんによってクレジットカード情報が長期間にわたって搾取されていたことになる。 カード情報を取得した犯罪者も、少額を定期的に利用したり、カード情報をApple Payに設定したりして内容がわかりにくくするなどの工夫をするようになっており、不正利用と搾取元の発覚に時間がかかることにつながっている。