クレジット決済代行会社からのカード情報流出の衝撃!(後編)安全とされているトークン方式でなぜ?
「ご利用者の皆様にはご心配とご迷惑をおかけしていること、関係取引先についてもご不便をおかけしていること、またクレジットカード決済をはじめキャッシュレス決済という重要なインフラを担う弊社が信用を貶めるような事態となったことを深く反省している所存です」
取材の最後に、株式会社メタップスペイメントから謝罪の言葉がありました。この言葉の中にも、今回の流出事件の深刻さと問題点が含まれています。
カード番号等の非保持化とは?
クレジットカードの不正利用を防ぐための国の施策として、カード番号等の非保持化をご存じでしょうか?
これは、利用者が注文した先の通販業者のサーバーにカード情報を保存させないようにすることで、もし悪意ある者から不正アクセスの攻撃を受けても、カード情報の流出を防げるというものです。
その方法の一つであるトークン方式を使っていながら、クレジット決済代行会社・メタップスペイメントからカード情報が最大46万395件流出した可能性があると報じられました。なぜこのような事態が起こったのでしょうか?
緊急!クレジット決済代行会社からのカード情報流出の衝撃!(前編)あなたのカード利用履歴も確かめて!
2018年6月1日より改正割賦販売法にて「クレジットカード番号等の適切な管理及び不正利用防止の義務」が施行されました。「加盟店に対し、クレジットカード番号等の適切な管理を義務づける。(カード番号等の非保持化あるいはPCIDSS準拠)」とされています。
(参照:経済産業省「割賦販売法の一部を改正する法律について」)
リンク型決済と、トークン方式の2つの方法について
通販業者側にカード情報が残らないようにするための「カード番号等の非保持化」の方法にはリンク型決済と、トークン方式(トークン型決済)という2つがあります。
この辺りの事情を、不正注文検知サービス「O-PLUX(オープラックス)」の導入を通じて、通販業界を中心に、不正決済対策のソリューションを提供している「かっこ株式会社」に伺いました。
「リンク型決済とは、利用者が商品の注文手続きでカード情報を入力する際、その情報を通販業者のサーバーで行うのではなく、決済代行会社が提供する画面に遷移して行う方法です」
もうひとつのトークン方式については「カード情報を特定できないように、カード利用者の情報を別の文字列(トークン)に置き換えて決済するようになっています。これまで、万が一情報が流出したとしても、トークン方式では、カード情報はわからないので安全とされていました。ところが、今回、決済会社からそのカードの情報が流出して、不正利用が発生した可能性があるということで、当社としても驚きでした」と話します。
なぜ、情報が流出してしまったのか?
クレジットカード情報の流出を防ぐためカード番号などを特定できないようにしたはずのトークン方式で、なぜ情報が流出してしまったのでしょうか?メタップスペイメントに聞きました。
「別な文字列にしていたにもかかわらず、情報が盗まれたということは、トークン型決済後の処理プロセスが解析されている可能性はありますでしょうか?」(筆者)
「はい。処理後のプロセスが解析され、クレジットカード番号・有効期限・セキュリティコードが流出しました。本件に関しては、トークン方式に問題があったものではなく、弊社決済データベース上の管理不備となります」との答えでした。
どんなに安全とされている決済方法であっても、その情報を管理する側に不備があれば、カード情報は盗まれてしまうということです。
懸念するのは、こうした情報管理の手落ちが、他の決済代行会社にもあれば、同様なことが起こりかねないということです。これがないことを願うばかりです。
リンク型決済にも気を付ける点がある
では、リンク型には情報流出のリスクはないのでしょうか。必ずしもそうではなく、ここにも詐欺行為をする者はワナを仕掛けてきているので注意が必要です。
前出のかっこ株式会社の担当者によると「利用者を偽の決済画面に誘導してカード情報を抜き取ることがあります。その後、エラー画面を出して、次の瞬間に正規の決済画面を出して、通常の取引をさせます。こうなると、利用者の側は不正にカード情報が抜き取られたことに気づかないことになります」と話されます。
これについて、筆者が「最初にアクセスした通販サイトの画面は本物だけれど、実はサイトが改ざんされて、偽の決済画面に誘導されてしまう感じでしょうか。それとも、最初から偽サイトに誘導されて、カード情報が抜かれてしまう。どちらでしょうか?」と尋ねると「両方ともに起こり得ます」とのことでした。
どんなに利用者の側が注意をしていても、情報は盗まれてしまう可能性があるわけです。まずは、こうした手口があることを知って警戒し、情報流出をできるだけ防ぐより他に手立てはありません。
カード流出による金銭的被害は、通販業者、そして利用者にも及ぶことも
こうした不正アクセスを受けてのカード情報流出で、真っ先に被害を受けるのは、カード情報を入力されて不正注文されてしまった通販業者です。代金を受け取れないまま、商品だけを騙し取られることになります。
さらに利用者にも危険が及びます。
カード会社によって違いますが、一定の補償期間を定めていますので、もし不正利用に気づかずにその期間を過ぎてしまうと、利用者自身が不正利用の金額をかぶることにもなりかねません。
今回の流出事件で、滋賀県からプレミアム付きのデジタル商品券「ここクーポン」でクレジット決済をしていた、ほぼすべてのカード情報(カード番号、有効期限、セキュリティコード)6万3337件が盗まれた可能性があるとの発表があり、筆者が非常に懸念していた事実も明らかになってきています。
情報流出の恐れのある企業などからのプレスリリースも続く
今、続々と、メタップスペイメントの決済を利用していた企業、団体、自治体などから「情報流出の可能性」のプレスリリースが出てきています。
クレカ情報流出の恐れで謝罪企業続々 AKB、公共施設、赤十字、チケットサイトなど メタップス不正アクセス問題(ITmedia NEWS)
日本生命でも最大約1.5万件のカード情報流出か メタップス不正アクセス問題の影響で(ITmedia NEWS)
これまでは、どこからカード情報が漏れているかわからず、カードを持つ方すべての方に利用履歴の確認の注意を促してきましたが、逆にあまりに範囲が広すぎて「自分には関係ないだろう」と他人事に考えた方もいたかと思います。ようやく、流出先の情報が出てきて、注意すべき範囲も絞れることで、危機感の共有ができる状況になってきました。
ここで注意しておきたいことは、必ずしも漏れた情報がすぐに不正利用されて、すぐに商品購入がなされるわけではないということです。
日本のクレジットカード情報は闇サイトなどで売買されており、時間が経ってから使われることもあります。いつ不正に商品が購入されて被害があるかわかりません。
今回、注意喚起された企業、団体、自治体でカード決済をされた方は、継続的な利用履歴の確認と、かなりの手間になりますが、不正使用発覚の時には、速やかなカードの再発行の手続きをお願いします。
これまでカード情報を窃取されるリスクがほぼなく、安全とされてきた方法にも、決済代行会社の側の情報管理の不備による流出という穴がありました。これにより、加盟店など各方面に多大なる迷惑をかけてしまったとともに、多くの利用者にクレジット決済への不安を与えるような結果にまでなってしまいました。
それが冒頭の謝罪の言葉にも表れています。
詐欺などを行う犯罪グループを取材してきて、知能犯らは絶えず、企業、個人の隙を狙い、騙しが行える時を虎視眈々と狙っています。
ゆえに、ネットを利用する上では「絶対の安心はない」ともいえます。
今回の件でもそれがよくわかりました。利便性の裏には、必ず何かしらのリスクをはらんでおり、不測の事態はいつ起こるかわからない。そのセキュリティ意識を常に持ち、万が一不正行為が起こった時に、情報開示による手立てをいかに早く打てるのか。それが被害拡大を防ぐ鍵になってきます。
通販業者、利用者、情報を預かる業者の三位一体こそが必要
クレジットカードの不正利用の被害を防ぐためにも、通販業者の側は注文時に厳格なチェックを行い、不正を行わせないような態勢を日ごろから取っておく。
利用者の側も、気づかぬうちに偽サイトやフィシング詐欺メールなどを通じて情報を入力していることもありますので、身に覚えのない利用がないかの確認はこまめに行う。最近は、必ずしも高額な商品を不正注文するだけでなく、数千、数万円といったさも本人が買いそうな金額の物を不正購入していることもあります。アナログな方法ですが、目視での利用明細の確認が最善の策といえます。
何より両者を守るためにも、決済代行会社は個人情報の厳格な管理を行うことが求められます。
通販業者は不正注文を未然に防ぐ。
利用者による利用履歴への監視の目。
決済代行会社は個人情報の厳格な管理を行う。
この三位一体となった行動こそが、悪意ある者たちの不正行為を社会から排除することにつながると考えています。
