• 協議会について
  • 日本カード情報セキュリティ協議会
  • 概要・ごあいさつ
  • 登録企業一覧
  • 会則
  • 入会案内
  • カード業界を取り巻く環境とセキュリティーの重要性
  • PCI DSS
  • グローバルセキュリティ基準PCI DSSとは
  • 概要
  • 認定取得のメリット
  • 認定取得について
  • 認定審査機関について
  • 導入が必要な企業
  • 企業一覧
  • PCI DSS準拠への参考資料
  • 非保持化への参考資料
  • 非保持・PCI DSS対応の加盟店事例紹介
  • 会員専用
  • サイトスポンサー
  • お問合せ
  • pcidss

クレジットカード情報を盗み取る「オンラインスキミング」の手口

記事提供:fjコンサルティング株式会社/株式会社DataSign

2018年夏頃から、非保持化を対応済みのECサイトでカード情報が流出する事件が相次いでいます。その手口は、消費者が買い物をするためにECサイトで入力したカード情報を、何らかの方法で不正犯にも送信させることにより、決済に必要となるカード番号、有効期限、セキュリティコードを窃取するというものです。

対面加盟店では、古くから磁気ストライプをそのままコピーして偽造カードを作成する「スキミング」という手口が存在しましたが、そのオンライン版ということで「オンラインスキミング」と呼ばれています。『実行計画』の後継として2020年3月に公表された『クレジットカード・セキュリティガイドライン』では、非保持化を達成した加盟店にも自ら必要な追加のセキュリティ対策を求めています。

同様の事件は世界中で多発しており、PCI DSSの維持・管理を担うPCI Security Standards Council(PCI SSC)からも2019年8月に注意喚起のプレスリリースが発表されました。しかしECサイトからの情報流出はいまだに増え続けており、その対策が急務となっています。しかしその発生メカニズムは複雑で、文書や図版だけの説明では理解が困難です。

▼本記事の続きと解説動画は、以下のサイトに掲載されています。

fjコンサルティング株式会社
https://www.fjconsulting.jp/news/stop-online-skimming/

株式会社DataSign
https://datasign.jp/blog/stop-online-skimming/

  1. 外部のサイトへリンクします。
    • PマークとPCI DSS
    • ISMSとPCIDSS
    • 参考資料
    • 関連リンク