高値で取引？日本のクレジットカード情報とそのセキュリティ

SHIFT SECURITY セキュリティの学び場ニュース解説高値で取引？日本のクレジットカード情報とそのセキュリティ

高値で取引？日本のクレジットカード情報とそのセキュリティ

2022.02.14 ニュース解説

今回の解説ニュース
クレジットカードのセキュリティ基準「PCIDSS」
クレジットカード所有者側で出来るセキュリティ対策とは？

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

ダークウェブで売買される日本のクレジットカード情報、平均価格4,905円世界最高値

NordVPNは2月3日、ダークウェブ上で売買される約7,000件の日本のクレジットカード情報を分析した調査結果を発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

ダークウェブで販売されているクレジットカード情報について調査されており、日本のクレジットカードが世界で最も高価であったと発表されています。事業者がクレジットカード情報を取り扱う際のセキュリティ基準や、個人がクレジットカード情報を漏洩させないために、セキュリティで気を付けるべきポイントについて説明します。

今回の調査によると、ダークウェブで販売されている日本のクレジットカード価格は114.25円から8,568.64円まで幅があり、全体の平均価格は4,905.89円であったということです。世界平均価格は1102.09円ということで、日本のクレジットカードは世界で最も高価であったことがわかります。

また、ダークウェブ上にある4,481,379件の売買カード情報のうち1,561,739件がアメリカ人の所有するもので、次いでオーストラリアが419,806件、日本は7,049件であったということです。

クレジットカードのセキュリティ基準「PCIDSS」

クレジットカード情報を取り扱う日本や世界の事業者は、その取引量に応じてクレジットカード業界の統一されたセキュリティ基準であるPCIDSSに準拠する必要があります。よって、世界のクレジットカード情報は本来一定のセキュリティレベルで守られているはずですが、実体としてはレベル差があるようです。

PCIDSSとは、Payment Card Industry Data Security Standardの略で、クレジットカード業界のセキュリティ基準です。元々は各ブランドごとのセキュリティ要件を満たす必要がありましたが、現在はPCIDSSによって世界的に統一されています。PCIDSSの認定取得は「訪問審査」「サイトスキャン」「自己問診」の3つの方法で行われます。これら3つの方法は、どれか1つだけ行えばいいというわけではなく、クレジットカード情報の取り扱い規模や事業形態によって、複数実施する必要があります。

訪問審査は、認定された審査機関の訪問によって、問題がないことの確認を受けます。クレジットカード情報の取扱い規模が大きい事業者に求められる方法です。サイトスキャンは、認定された審査機関のスキャンツールによって、四半期に1回以上の診断で脆弱性がないことの確認を受けます。クレジットカード情報の取り扱うシステムをインターネットに接続している事業者には必須の方法です。自己問診は、アンケート形式によるチェック項目に回答して、すべて「Yes」であることを確認します。クレジットカード情報の取扱い件数が少ない事業者向けの方法です。

このような状況で、事業者によってセキュリティレベルのバラつきが生じてしまうのは、自己問診などで内容を正しく理解できておらず、誤った認識でクレジットカード情報を取り扱っていることも考えられます。

クレジットカード所有者側で出来るセキュリティ対策とは？

クレジットカードの所有者側でできるセキュリティ対策として、Webサイトにクレジットカード情報を入力する際はフィッシング詐欺の被害にあわないよう十分に注意することが必要です。クレジットカード情報が窃取される理由の一つとして、フィッシング詐欺の被害が挙げられます。

フィッシング被害に遭わない為に本物を見分ける: 過去にもフィッシング詐欺の被害に遭わないために「正しいURLにアクセスするためにブックマークを使う」「メールやSNSのメッセージに書かれたリンクをクリックしない」などの基本的な対策ついて説明させていただきました。今回は、初めてアクセスするWebサイトが本物のWebサイトであるかどうかを確認する方法について説明します。ただし、これらは一つの方法だけでは十分な対策になりませんので、すべての項目を確認した上で少しでも不安がある場合はクレジットカード情報の入力を避けるようにしましょう。
ドメイン名が正しいかどうか確認: まず、ドメイン名が正しいかどうかを確認します。URLがhttpsか鍵マークで始まっていれば、Webサイトに証明書がインストールされていますので、その内容を確認することができます。URLがhttpやアラートマークで始まっている場合、フィッシングサイトである可能性があります。
証明書の発行先がサイト運営元の組織かどうかも確認: 次に、鍵マークをクリックして、証明書の発行先がWebサイトを運営している組織と一致していることを確認します。証明書の種類によっては、発行先の組織名を確認することができない場合がありますので、その場合は先に説明した別の方法でフィッシングサイトでないことを確認しましょう。