●　ECサイトを狙う、攻撃者の二つの手口 　実のところ、ECサイトを狙った攻撃の手口自体は、ここ数年それほど変化していない。その背景には、2018年に施行された改正割賦販売法がある。この法改正により、ECサイト事業者におけるクレジットカード情報の取扱いに関して、事実上、クレジットカード番号等の非保持化が義務付けられることとなった。 　そのため、現在のECサイトのほとんどは、クレジットカード情報を自社で保持しない仕組みを採用している。それなのに、なぜ完全な形のクレジットカード情報が漏えいしてしまうのか？その答えは、ECサイトの決済画面で、ユーザーが入力したクレジットカード情報を抜き取られてしまうからだ。この手口は「Webスキミング」と呼ばれている。 　ECサイトがクレジットカード情報を保持せず、自社サーバーも通さず、決済代行事業者に直接送信するようになった結果、主流になった攻撃手法が「JavaScriptを使用した決済代行クラック」だ。ECサイト上の決済画面では、入力された値を決済代行会社に渡すためのスクリプトが使用されている。クラッカーはこのJavaScriptに不正なコードを追加し、決済業者への送信と同時に、自分のサーバーにも情報をコピーする。この方法だと、決済自体は正常に完了するため、被害に気付きにくいという特徴がある。実際、タリーズコーヒージャパンも4年近く気付いていなかったために、これほど大規模な情報漏えいになってしまった。

●　クレジットカード情報保護の現状と課題 　日本クレジット協会では、加盟店に対して「カード情報を保持しない非保持化（非保持と同等/相当を含む）、又はカード情報を保持する場合はPCI DSSに準拠する」ことを求めている。 　カード情報を保持する場合の「PCI DSS」とは、カード会員データを保護するためのガイドラインだ。ネットワークセキュリティ、データ保護、脆弱性管理、アクセス制御、モニタリングとテスト、情報セキュリティポリシーの維持管理など、多岐にわたる要件が定められている。しかし、これらの要件を満たすには相当の技術力とリソースが必要となるため、規模の小さなECサイトでは自前での整備が難しいのが現状だ。 　このため、多くのECサイトは非保持化を選択することになる。しかし、この「非保持化推奨」が、一部で誤って解釈されている可能性がある。「保持さえしなければ顧客のカード情報が漏れることはない」という誤った認識が、今回のような事態を招いた一因とも考えられるのだ。しかし、「保持していなければ大丈夫」ではないことは、今回のタリーズの件を見れば明らかだ。 ●　カード情報が漏れてしまったとき、個人ができる具体的な防衛策は？ 　この記事を読んでいる方の中には、タリーズ オンラインストアや他のECサイトで情報漏えいの被害に遭ってしまった人がいるかもしれない。もし、自分の個人情報が漏れている可能性がある場合、できることはいくつかある。 　（1）冷静に状況を把握する 　もっとも必要なのは、これだ。パニックは事態を悪化させかねないし、逆に無視もよくない。まずは通知をよく読み、何の情報が漏えいしたのか確認しよう。通知が本物かどうかもチェック。漏えいしたメールアドレスや電話番号宛てに、フィッシング詐欺のメールやSMSメッセージが届くことがある。その目的は、悪意のあるリンクを作り出し、クリックさせ、個人情報を盗むためだ。 　（2）被害拡大を防ぐ 　クレジットカードの情報漏えいであったらクレジットカードの利用履歴、銀行口座をチェックし、不審な取引がないか確認する。 　（3）漏えいしたIDとパスワードを、もし他でも使っていたら変更する 　ダメだと分かっていても、同じパスワードを使い回している人もいるかもしれない。漏えいしたサイトで使っているIDやパスワードを他のサイトでも使っている場合は非常に危険だ。急いで別のものに変更を。 　（4）クレジットカードを継続監視 　漏えいしたサイトで使っていたクレジットカードや口座のチェック、PCやスマホに不審なメールが来ないかなどを、しばらくの間特に気をつけて確認する。特に、クレジットカードに覚えのない請求が来ている場合は、できるだけ速やかに（遅くとも引き落とされる前には）カード会社に連絡をするのが大切だ。 　（5）クレジットカードに本人認証サービスを設定 　カード番号＋セキュリティコードだけで決済ができないように、本人認証サービスを設定しよう。特に「ワンタイムパスワード」、SMSによる認証や、Authenticatorといったアプリの使用を必須にするのはお勧めだ。これならどんなに情報を取られようと、クレジットカードを不正使用することはできなくなるからだ。 　（6）セキュリティの強化 　セキュリティ対策ソフトを入れていない場合は、この機会に総合対策ソフトを導入するのもいいだろう。ページ内に典型的な不審スクリプトが仕掛けられている場合などは、対策ソフトが警告してくれるケースもある（過信は禁物だが）。 　今回のタリーズの事例は、ECサイトのセキュリティ対策における新たな課題を浮き彫りにしたといえる。事業者側には、より包括的なセキュリティ体制の構築が求められる一方、利用者側も、自身の情報を守るための積極的な対策が必要だ。被害を被る前に、ここに書いた対策をしっかり取ってほしい。