オンラインショッピングの“安全策”が盲点に カード情報の漏えいが止まらない理由：半径300メートルのIT（1/3 ページ）

オンラインショッピングが広く普及する中、「安全のため、カード決済は外部に委託している」というサイトが増えました。ところが、その仕組みを逆手に取って、カード情報を抜き取る攻撃が多発しています。一体何が起こっているのでしょうか。

[宮田健，ITmedia]

　最近、情報漏えい事件の報道が後を絶ちません。もはや、大規模な漏えいの報道にすっかり慣れてしまった人も多いのではないでしょうか。例えば、2004年に大きな話題になったYahoo! BB顧客情報漏えい事件における漏えい件数は「約451万人」ですが、今となってはありがちな件数に見えてしまうかもしれませんね。

　一方で、情報漏えい事件で今や件数よりも重要なのが「漏えいした内容」です。例えば、パスワードリスト攻撃にそのまま使えてしまう、暗号化されていないままの“生パスワード”や、お金に直結するクレジットカード番号、さらにセキュリティコード（CVV）が漏えいしたとき、ユーザーである私たちは即座に行動する必要があります。何度も触れていますが、パスワード管理ソフトを導入するなど、オンラインアカウントのパスワード使い回しを防ぐ方法はぜひ検討してください。

最良の情報漏えい対策とは「情報を持たないこと」のはずが……

「知らないうちに、自分のカードが勝手に使われていた……」という事態は避けたいですよね

　では、自分のクレジットカード情報を守るために、ユーザーにできる対策は他にあるのでしょうか。クレジットカード決済を行うECサイトのセキュリティレベルは、外から見ても分かりません。しかし、よくECサイトの情報漏えい事件がレポートとして上がってきたとき、「セキュリティコード」が漏えい項目に入っていることがあります。

　クレジットカードをはじめとするペイメントカード情報を取り扱う際のセキュリティ基準「PCI DSS」では、セキュリティコードをシステムで保存することを明確に禁止しています。しかし、そのセキュリティコードが漏えいしたということは「保存されていた」ということになるので、そのECサイトはセキュリティが分かっていない、と判断できるかもしれません。

　クレジットカード決済をインターネットで利用するには、多くのセキュリティ要件をクリアする必要があるため、「クレジットカード決済業務自体を外部委託する」という方法があります。その場合、クレジットカード番号を入力するページは、ECサイト外のドメインに転送され、決済情報を入力し決済したタイミングでECサイトに戻る、という挙動になります。これであれば、クレジットカード情報を扱う部分は決済のプロに任せられるので、中小規模企業や個人でも安心してECサイトが作れますね！

　……というのは、実は数年前までのお話です。最近、そのような「決済は外部に任せる」というECサイトですら、クレジットカード番号やセキュリティコードを含む情報漏えい事件を起こしてしまっているのです。一体どういうことなのでしょうか？