GUYのニュース斬り!

このブログはジャンル問わず、いろんな時事ニュースや出来事に対して、管理人guyが意見や感想、解説等をしていくブログです。


テーマ:

あ~あ・・・

またクレジットカード情報漏えいだってさ。

 

 

 

2社の通販サイトでカード情報が漏えいか。止まらないECサイトへの不正アクセス

https://headlines.yahoo.co.jp/hl?a=20170316-00000003-netshop-sci

 

ECサイトへの不正アクセスによって、クレジットカード情報が流出した可能性がある事件が相次いでいる。

食品ECサイトなど2社は3月14日、不正アクセスによるカード情報漏えいの可能性があると発表した。

 

ECサイトへの不正アクセスをめぐっては、3月10日にGMOペイメントゲートウェイが受託運営するサイトからの情報流出が発覚したばかり。

ECサイトのセキュリティ対策が喫緊の課題になっている。

カード情報の漏えいの可能性を3月14日に公表したのは、 電動製品や防災グッズのECサイト「匠ワールド」を運営する株式会社匠と、ちくわなどを扱うECサイト「ヤマサちくわオンラインショップ」を運営するヤマサちくわ株式会社。

「匠ワールド」は2039件のカード情報(氏名、カード情報、カード有効期限)が漏えいした可能性がある。

Webアプリケーションの脆弱性を突かれ、顧客が入力したクレジットカード情報を抜き取られた可能性があるという。

 

2社の通販サイトでカード情報が漏えいか。止まらないECサイトへの不正アクセス

「ヤマサちくわオンラインショップ」から漏えいした可能性があるカード情報(氏名、カード情報、カード有効期限)は9426件。第三者による不正アクセス(SQLインジェクション攻撃)が原因としている。

 

□ 経産省主導でセキュリティ対策を急ぐ

経済産業省主導の「クレジット取引セキュリティ対策協議会」(事務局は日本クレジット協会)は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。

カード情報の漏えいの頻度が高い非対面(EC)加盟店については原則として非保持化(保持する場合はPCIDSS準拠)を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCIDSS準拠済みのPSP(決済代行会社)が提供するカード情報の非通過型(「リダイレクト(リンク)型」または「Java Scriptを使用した非通過型」)の決済システムの導入を促進するとしている。

また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。

 

 

 

 

ECサイトには、サイトでカードデータを保持してる所と、データは非保持(残さない)の2種類あるが、上記に書かれているようにカード情報のデータをECサイト内に”保持する”タイプのサイトは、不正アクセスで漏洩し易いので、ECサイトでカード払いを選択する際は注意が必要。

 

クレジットカード情報の非保持化 サービスの2つの形態

非保持にも2つの形があるのをご存知であろうか。

1)リンク型(通称)
加盟店側で買い物方法としてカード決済を選択すると、カード会員データの入力画面に切り替わる。この画面は既に決済代行事業者のサーバに遷移しており、カード会員データは加盟店側のサーバで伝送も処理も保存もされない。

2)モジュール型(通称)
加盟店側で買い物方法としてカード決済を選択すると、そのサイト内の画面遷移でカード会員データの入力画面に切り替わる。加盟店のWebサーバやアプリケーションサーバにインストールされたモジュールを通じて決済代行事業者にオーソリ情報を伝送、処理する。決済処理後にカード会員データは加盟店側には保存されない。

 

 

 

 

ECサイトが情報保持型か非保持のどちらの方式のカード決済を行っているか??は、見た目では判断出来ない。

 

 

心配な時は、事前にECサイトに問い合わせ、確認してから、カードを使おう。

 

 

 

この記事良いネ!いいね!と思ったら、

にほんブログ村 ニュースブログへクリックお願い致します
いいね!した人  |  コメント(0)  |  リブログ(0)

guyさんの読者になろう

ブログの更新情報が受け取れて、アクセスが簡単になります