[オンラインショップ加盟店さまへ] 情報漏えい対策のお願い

近年、オンラインショップ加盟店さまにおいて、外部からの不正アクセスによりカード情報が漏えいする事案が多発しております。また、個人情報保護法や割賦販売法では、加盟店さまに対して個人情報の保護やカード情報の漏えい対策を講じることが求められています。
加盟店さまにおかれましては、カード情報漏えいの未然防止、また被害を最小限に抑えるため、セキュリティ対策を一層強化いただきますようお願いいたします。

カード情報漏えい事案の傾向

情報漏えい発生に伴うリスク

情報漏えいの主な原因と対策

カード情報の漏えいまたは
漏えい懸念がある場合

カード情報漏えい事案の傾向

■従前は「サーバーに保存されたカード情報の盗取」が主流
2018年度前半頃までは、カード情報の非保持化が未済の加盟店さまにおいて、加盟店さまのサーバー等に保存されたカード情報を抜き取られることによる事案が主流でしたが、加盟店さまでのカード情報の非保持化が進んだことで上記を原因とした漏えい事案は減少しました。
■現在は「サイト改ざん」が主流
2018年度後半以降は、カード情報を非保持化済の加盟店さまにおける「サイト改ざん」よる漏えい事案が増加しております。これは、加盟店さまのサイトの脆弱性や設定不備等により、第三者から不正アクセスを受け、偽の決済ページへの誘導やカード情報が第三者に送信されてしまうといったサイトの改ざんが行われるものです。

攻撃者加盟店サイト (オンラインショップ等) ユーザー ①攻撃者がサイトを改ざん ②改ざんされたサイトにユーザーがクレジットカード情報を入力 ③攻撃者にクレジットカード情報が送信される

画像を拡大する

情報漏えい発生に伴うリスク

情報漏えいの発生により、加盟店さまには様々なリスクが生じます。
金銭的負担をはじめ、加盟店さまでの業務負担の増加や信用・信頼の失墜に繋がる可能性があり、場合によってはクレジットカード決済が再開できなくなる可能性がございます。

各種業務負担	事故発生原因の調査（フォレンジック調査）顧客対応（公表、照会対応、お詫び等）行政当局（必要な報告や立入り等）やマスコミ対応　等
損害賠償請求	各カード会社（イシュア）からの損害賠償請求～カード再発行費用、不正利用被害金額　等各カード会社（アクワイアラ）からの損害賠償請求～国際ブランドプログラム抵触に伴うペナルティ～上記以外の制裁金や違約金　等
売上減少	再開までカード決済が不可となることによる売上減少～必要な手続きが実施されない場合、カード決済自体が再開不可
風評被害	顧客や社会からの加盟店への信用・信頼失墜

情報漏えいの主な原因と対策

サイト改ざんをはじめとする情報漏えいは、主に以下を原因として発生しております。加盟店さまのリスクを減らすため、対策の実施をお願いいたします。

原因	対策
■サイトの設定不備加盟店サイトの設定不備によって不正プログラムが設置されてしまうこと等により、情報が盗み取られる。例）サイト管理者画面にアクセス制限がされていない管理者ID・パスワードの管理不足（推測されやすいものを設定している等）本来非公開とすべき特定のディレクトリ・ファイルが露見しているファイルのアップロード/ダウンロード機能が開放されている	サイトの設定を初期設定から変更する管理画面へのアクセス制限（IPアドレス制御等）を行うワンタイムパスワードやベーシック認証等を導入する特定ディレクトリを非公開にする加盟店サーバーにアップロード可能なファイル等の制限を行う
■ウェブアプリケーションの脆弱性への対応が不十分ウェブアプリケーションの脆弱性を突いたSQLインジェクション等の攻撃により、データベースが不正に操作され、保存されたデータを取出されたり、不正なデータの書込みや改ざんが行われる例）利用しているウェブアプリケーション等の既知の脆弱性に対するセキュリティパッチを適用していない利用しているウェブアプリケーション等をカスタマイズする際、脆弱性に対する対処がなされていない	脆弱性診断（ペネトレーション診断）を実施する常にウェブアプリケーション等のセキュリティに関する注意喚起の情報を収集し、既知の脆弱性に対して対策を講じる

原因

対策

■サイトの設定不備
加盟店サイトの設定不備によって不正プログラムが設置されてしまうこと等により、情報が盗み取られる。

例）

サイト管理者画面にアクセス制限がされていない
管理者ID・パスワードの管理不足（推測されやすいものを設定している等）
本来非公開とすべき特定のディレクトリ・ファイルが露見している
ファイルのアップロード/ダウンロード機能が開放されている

サイトの設定を初期設定から変更する
管理画面へのアクセス制限（IPアドレス制御等）を行う
ワンタイムパスワードやベーシック認証等を導入する
特定ディレクトリを非公開にする
加盟店サーバーにアップロード可能なファイル等の制限を行う

■ウェブアプリケーションの脆弱性への対応が不十分
ウェブアプリケーションの脆弱性を突いたSQLインジェクション等の攻撃により、データベースが不正に操作され、保存されたデータを取出されたり、不正なデータの書込みや改ざんが行われる

例）

利用しているウェブアプリケーション等の既知の脆弱性に対するセキュリティパッチを適用していない
利用しているウェブアプリケーション等をカスタマイズする際、脆弱性に対する対処がなされていない

脆弱性診断（ペネトレーション診断）を実施する
常にウェブアプリケーション等のセキュリティに関する注意喚起の情報を収集し、既知の脆弱性に対して対策を講じる

カード情報の漏えいまたは漏えい懸念がある場合

オンラインショップ加盟店さまや加盟店さまの委託先において、カード情報が漏えいまたは漏えいの懸念がある場合は、直ちにカード情報を保存しているデータベースをネットワークから切断し、新規のカード決済（カード情報の登録を含む）を停止のうえ、弊社へご連絡ください。弊社より対応事項（止血対応、調査、再発防止策等）についてご案内いたします。