クレジットカードセキュリティの基礎(前編)
クレジットカードセキュリティの基礎(前編)では、クレジットカードの情報保護について、実際にどんな情報をまもることを指してクレジットカードセキュリティと言われているのか、またどのようにカード情報が悪意のある第三者に盗まれているのかを解説します。
まもるべきクレジットカード情報とは?
ここでいう「まもるべき情報」とは、具体的には国際ブランドのペイメントカード情報になります。国際ブランドとは、AmericanExpress/Discover/JCB/MasterCard/VISAなどのことを指します。ペイメントカードとは、国際ブランドのクレジットカード、デビットカードとプリペイドカードを指しています。
カード情報は、大きくは「カード会員データ」と「センシティブ(機密)認証データ」の2つに分けられます。これらは総称して「アカウントデータ」と呼ばれています。
カード会員データは、クレジットカードの表面に記載されている、16桁からなるカード会員番号、有効期限、カード会員名のことを指します。セキュリティの観点から、これらの情報はカード加盟店側で非保持が望ましいとされており、もし通過・処理・保存を行う場合はPCI DSSに準拠すべきということになります。
センシティブ認証データは、PIN(4〜6桁の暗証番号)/PINブロック(PINの暗号化コード)、クレジットカード裏面(または表面)の磁気ストライプ情報とセキュリティコードを指します。これらの情報は、加盟店側で保存すること自体が禁止されています。
セキュリティコードは、磁気ストライプに含まれていないのでスキミング対策として有効です。一方でインターネット加盟店では、意図せずアプリケーションのログなどに保存してしまうことがあるので、そこから流出してしまうことがあるので取り扱いには十分な注意が必要です。
クレジットカード情報の流出―SQLインジェクションとは?
昨今インターネット加盟店からカード情報の流出が相次いでいます。ここではカード情報がどのように悪意のある第三者に盗まれているのか?代表的な手法をご紹介していきます。