こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
NordVPNは2月3日、ダークウェブ上で売買される約7,000件の日本のクレジットカード情報を分析した調査結果を発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】ダークウェブで販売されているクレジットカード情報について調査されており、日本のクレジットカードが世界で最も高価であったと発表されています。事業者がクレジットカード情報を取り扱う際のセキュリティ基準や、個人がクレジットカード情報を漏洩させないために、セキュリティで気を付けるべきポイントについて説明します。
今回の調査によると、ダークウェブで販売されている日本のクレジットカード価格は114.25円から8,568.64円まで幅があり、全体の平均価格は4,905.89円であったということです。世界平均価格は1102.09円ということで、日本のクレジットカードは世界で最も高価であったことがわかります。
また、ダークウェブ上にある4,481,379件の売買カード情報のうち1,561,739件がアメリカ人の所有するもので、次いでオーストラリアが419,806件、日本は7,049件であったということです。
クレジットカード情報を取り扱う日本や世界の事業者は、その取引量に応じてクレジットカード業界の統一されたセキュリティ基準であるPCIDSSに準拠する必要があります。よって、世界のクレジットカード情報は本来一定のセキュリティレベルで守られているはずですが、実体としてはレベル差があるようです。
PCIDSSとは、Payment Card Industry Data Security Standardの略で、クレジットカード業界のセキュリティ基準です。元々は各ブランドごとのセキュリティ要件を満たす必要がありましたが、現在はPCIDSSによって世界的に統一されています。PCIDSSの認定取得は「訪問審査」「サイトスキャン」「自己問診」の3つの方法で行われます。これら3つの方法は、どれか1つだけ行えばいいというわけではなく、クレジットカード情報の取り扱い規模や事業形態によって、複数実施する必要があります。
訪問審査は、認定された審査機関の訪問によって、問題がないことの確認を受けます。クレジットカード情報の取扱い規模が大きい事業者に求められる方法です。サイトスキャンは、認定された審査機関のスキャンツールによって、四半期に1回以上の診断で脆弱性がないことの確認を受けます。クレジットカード情報の取り扱うシステムをインターネットに接続している事業者には必須の方法です。自己問診は、アンケート形式によるチェック項目に回答して、すべて「Yes」であることを確認します。クレジットカード情報の取扱い件数が少ない事業者向けの方法です。
このような状況で、事業者によってセキュリティレベルのバラつきが生じてしまうのは、自己問診などで内容を正しく理解できておらず、誤った認識でクレジットカード情報を取り扱っていることも考えられます。
クレジットカードの所有者側でできるセキュリティ対策として、Webサイトにクレジットカード情報を入力する際はフィッシング詐欺の被害にあわないよう十分に注意することが必要です。クレジットカード情報が窃取される理由の一つとして、フィッシング詐欺の被害が挙げられます。
今回は、PCIDSSの概要とフィッシング対策についてお届けしました。オンライン決済に必要不可欠なクレジットカードですが、今回の配信を参考に、細心の注意を払って安全に入力をしてください。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
