セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

クレジットカード情報はどうやって盗まれるのか

※本記事は2018年12月27日に投稿した記事を追記・修正したものです。

クレジットカードの取扱高は年々増加しています。
経済産業省が現在実施しているキャッシュレス政策によりキャッシュレス決済比率が増加すれば、クレジットカードの普及率も更に上昇することが考えられます。一方で、その不正利用の被害額も近年増加傾向にあるため、カード情報の漏洩において更なる対策が必要となります。そこで今回は、カード情報漏洩の原因とその対策について、ユーザー側と企業側それぞれの視点からご紹介致します。

ユーザー側の原因と対策

ユーザー側に起因するカード情報漏洩の原因としては、主に「バンキングマルウェアへの感染」、「フィッシング詐欺」、「パスワードの使い回し」の3つが挙げられます。ユーザー側で講じておきたい原因ごとの対策についてご説明します。

  1. バンキングマルウェアへの感染
  2. バンキングマルウェアには、ネットバンキングの不正送金だけでなく、カード情報を窃取する機能が備わったものも存在します。ユーザーがネットバンキングやカード会社のログインページにアクセスしたことを検知すると、偽の認証画面を表示し、暗証番号やパスワード、カード情報の入力を促して、情報を不正に入手します。

    対策としては、アンチウイルスソフトをインストールし、パターンファイルを常に最新の状態に保っておくことです。また、感染経路となる金融機関を装った不審な誘導メールや、いつもと違うログイン画面やポップアップには注意しましょう。

  3. フィッシング詐欺
  4. 実在する企業を装ったメールを送りつけ、受信者にメール内のリンクを開かせることでフィッシングサイトへ誘導する手口にも要注意です。誘導先のサイトでカード情報などを入力してしまうと、攻撃者に情報を盗み取られてしまいます。フィッシング詐欺の手口とその対策については、こちらの記事をご覧ください。

  5. パスワードの使い回し
  6. カード情報を登録していた企業で情報漏洩が発生した場合、その認証情報を使いまわしていると、他のサービスにおいても不正アクセスの被害を受ける可能性があります。
    先日問題となったスターバックスでのクレジットカード不正利用問題でも、過去に漏洩した認証情報を利用した「パスワードリスト型攻撃」という手口が用いられた可能性があることが指摘されています。パスワードは原則、使い回さないでおきましょう。

このように、ユーザー側である程度対策を講じておくことは必要です。とはいえ、カード情報を守るためには企業側の管理も不可欠であり、完全に防ぐことは困難です。そこで、万が一不正利用が疑われた場合の対処方法をご紹介します。

  1. 不審な取引を見つけたら直ちに連絡する
  2. クレジットカードの利用明細を見て、不正利用がないことを確認する習慣をつけましょう。万が一、身に覚えのない取引を確認した場合には、直ちにカード会社に連絡してください。
    カード会社への届出を行わなかった場合、不正利用被害に遭っても原因によっては補償を受けられなくなるため注意が必要です。

  3. ウイルスを駆除する
  4. クレジットカードの利用明細やネットバンキングの取引履歴に不審な点があった場合、ネットバンキングを狙うウイルスに感染している可能性があります。アンチウイルスソフトのパターンファイルを最新の状態にした上でウイルスをスキャンし、見つかった場合には駆除しましょう。

  5. カード会社に携帯電話番号を登録しておく
  6. 通常、カード会社はカードの利用状況を常に監視しており、不審なカード利用を検知した時には登録している電話番号へ連絡してくれるようになっています。この連絡先に携帯電話を登録しておけば、不正利用が発覚した時に迅速な対処ができるかもしれません。

    企業側の原因と対策

    近年、企業におけるカード情報をはじめとする顧客情報の漏洩事故が頻繁にメディアで取り沙汰されるようになりました。
    個人情報漏洩事件に関する調査によると、2018年に発生した情報漏洩事故の原因は、上位から「紛失・置き忘れ」、「誤操作」、「不正アクセス」で、全体の約70%を占めました。

    引用:2018年 情報セキュリティインシデントに関する調査報告書 【速報版】(PDF) | 日本ネットワークセキュリティ協会(JNSA)

    原因別に対策を見ていきましょう。

    1. 紛失・置き忘れ
    2. 持ち出し端末や外部接続機器のセキュリティ対策は今や企業にとって大きな課題となっています。
      データ持ち出しには厳格なルールを設け、Active Directoryや資産管理ソフトによってアクセス管理や外部媒体の制御を行うことが有効です。

    3. 誤操作
    4. 電子メールの誤送信をはじめとする誤操作による情報漏洩事故は、人為的ミスによって生じる最も身近なリスクと言えます。電子メールにおける誤操作の対策については、こちらの記事をご覧ください。

    5. 不正アクセス
    6. インターネット経由の外部からの不正アクセスによる被害は2014年以降増加傾向にあり、その攻撃手法も進化しているため、注意が必要です。不正アクセスには、ネットワークセキュリティエンドポイントセキュリティによる入口・出口対策が有効です。

     
    宝情報では、各対策において有効なセキュリティ製品を取り扱っています。
    詳細につきましては、株式会社宝情報にお問い合わせください。

     
     

    参考(外部リンク)

    クレジットカード不正利用被害の発生状況(PDF)|一般社団法人日本クレジット協会
    2018年 情報セキュリティインシデントに関する調査報告書 【速報版】(PDF) | 日本ネットワークセキュリティ協会(JNSA)
    スターバックスでクレジットカード不正利用:二要素認証なしとカード追加が弱点に|Yahoo!Japan ニュース
    特定サービス産業動態統計調査|経済産業省

記事一覧に戻る