クレカ情報漏えい事故,BCラボ,ECマーケティング,マーケティングコラム,

マーケティングトレンド

クレカ情報漏えい事故 危機意識乏しい中小ECサイトにロックオン | BCラボ ブランドEC研究所

拡大一途の クレカ情報漏えい事故 ですが、その増加ぶりは、危機意識を麻痺させるレベルにあり、被害額も軽微なことから、不正対策への取り組みは後回しというケースも。ただし、実害は金銭的な支出以外にも、「こんな無神経なサイトを利用できるか」というレッテルの事業毀損にあり、一度失った信用は「容易には取り戻せない現実」に直面することなのです。


Accidents of Creca information leaks are continuing to grow, but the number of accidents has increased at a level that paralyzes the sense of crisis, and the amount of damage has been negligible. The real harm, however, is not only financial expenditure, but also the business damage of the label, “Can you use such an insensitive site?”, And once you lose the credit, you face “the reality that cannot be easily recovered.”


ネット利用が普及し生活が便利になる一方で、日々、多くのECサイトでクレジットカード情報漏えい事故が起こっています。ECサイトの担当者へのアンケートによると、49.1%が「ECサイトに対してサイバー攻撃を受けたことがある」と回答しています。
ECサイトの立ち上げを検討している担当者は、ECサイトの最も大きいセキュリティリスクである「クレジットカード情報の漏えい対策」を行うべきです。万一、クレジットカード情報が流出すると、サイト閉鎖の可能性もある重大なリスクです。



クレカ情報漏えい事故 いつ・どの規模の・どんな事業サイトにも起こり得るのです

多様な業種のECサイトでクレジットカード漏えい事故が起きています。適切なセキュリティ対策・管理をしなければ自社でも起こる可能性があり、他人事ではない問題であることは明白です。

クレジットカード情報(カード番号、カード会員名、有効期限、セキュリティコード)が漏えいすると、クレジットカード情報の不正利用による深刻な被害を引き起こします。


Credit card leakage accidents have occurred on EC sites in various industries. If you do not take appropriate security measures and controls, it can happen in your company, and it is clear that it is a problem other than personnel.

Leakage of credit card information (card number, card member name, expiration date, security code) can cause serious damage due to unauthorized use of credit card information.


クレカ情報が悪用されるケース

換金目的の高額商品の購入
犯人は盗んだクレジットカード情報で、家電、ジュエリー、航空券、高級ブランドなどを購入し、商品を転売し換金します。転売手法も増えてきましたし、某C2Cサービスの出品管理のザル具合からも、不正購入は増加の可能性が高いといえます。


The culprit uses the stolen credit card information to purchase home appliances, jewelry, air tickets, luxury brands, etc. and resells and cashes the goods. The number of resale methods has also increased, and it can be said that unauthorized purchases are likely to increase in the manner of managing C2C service exhibitions.


不正トラベル
旅行者が成りすまし旅行代理店となった犯人に旅行を申し込み、代金を支払いをします。犯人は別途不正に入手しておいたクレジットカード情報を使用して、正規の旅行事業者に手配を行います。これによって、犯人は旅行サービスの支払い金を詐取します。
うーん、なかなか面倒な手口ですね。しかし旅行申し込みをサイト上で一括実施するケースは増えている次第で、転売手口としてすべて「無形」である点が被害素地とも言えます。


The traveler applies for the trip and pays the offender who has become the pretending travel agency. The criminal will use the credit card information obtained separately to make arrangements with a legitimate travel agency. This allows the culprit to fraudulently pay for travel services.
Well, it’s quite a tricky trick. However, the number of cases where travel applications are applied collectively on the site is increasing, and the fact that all resale points are “intangible” can be said to be the basis for damage.


小額の商品の購入
ここ数年で目立ってきたケースです。盗んだクレジットカード情報で1万円以下の小額の商品を狙って購入します。毎月のクレジットカード明細書をチェックする消費者が少ないため、不正利用だと気づかれにくい手口です。また、カード会社の監視の目をかいくぐってしまう可能性もあります。
犯罪行為の対価として成立しない「チャち」な行為ですが、どちらかというとカード情報が転売されて悪用されるケースか、情報商材屋の客引き商品購入に利用されるようなケースとも。
実害は少ないですが、不正利用される状況が拡大するワケです。


This has been the case in recent years. Aim for a small product of 10,000 yen or less with the stolen credit card information and purchase it. Because few consumers check their monthly credit card statements, this is a trick that is hardly noticed as unauthorized use. Also, you may be able to bypass card company monitoring.
Although it is a “chuck” act that is not concluded as a price for criminal acts, it is more likely to be the case where card information is resold and misused, or used for purchasing merchandise at information merchandise stores.
Although the actual harm is small, the situation of illegal use is expanding.


クレカ情報漏洩したサイトのリスク

ECサイトの閉鎖
カード情報が流出した場合、カード決済の停止やサイトを一時閉鎖するなどの措置がとられます。「フォレンジック調査」によって流出原因の調査、原因の特定と応急処置、必要なセキュリティ対策が完了するまでビジネスの再開は認められません。
クレカ利用を止めればいいでしょ、という見解もありますが、不正アクセスの手段や漏えい経緯がはっきりしない場合での、サイト継続は「被害の拡大」を招くだけとも。賢明な判断とは言えませんね。

フォレンジック調査の費用
「フォレンジック調査」は漏えい発生に際し、原因特定や被害範囲特定を行うための調査です。カード会社との加盟店契約において、加盟店は漏えい事故が起きた際の調査が義務付けられています。特定の専門機関への調査依頼が必要となり、調査費用は数百万円から1000万円程度が見込まれます。
被害にあった側なのに、有無も言われぬ支払い義務が生じるワケで、これ一番の実害額ともいえます。契約上の義務でもあり、サイバー被害届を提出する所轄警察でも調査結果有無は問われます。


“Forensic investigation” is an investigation to identify the cause and damage area when a leak occurs. Merchant agreements with credit card companies require that merchants investigate when a leak occurs. It is necessary to request a survey from a specialized organization, and the cost of the survey is expected to be several million to 10 million yen.
It is the reason that the payment obligation is irrelevant even though it was the victim, and it can be said that this is the most harmful amount. It is a contractual obligation, and the jurisdiction police submitting the cyber damage report will be asked whether the investigation result is present.


対象顧客への報告とお詫びの対応と費用
お客様へのお詫び対応のデスク設置やクレジットカードの差し替え費用、お詫び金などが発生します。
サイト上での漏えい事実の開示後の対応に、自社スタッフだけでは不十分という場合は、外部事業者に委託するケースもあり、実害損失を補うよりも、対応経費の方が膨大になることもしばしば。


There will be an apology-ready desk for the customer, a credit card replacement fee, and an apology.
If it is not enough for our staff to respond after disclosure of the fact of leakage on the site, there are cases in which it is entrusted to an external company, and the cost of responding may be enormous rather than compensating for the actual damage. often.


社会的信頼の失墜
監督庁への報告がマスコミの報道や、ネットでの情報掲示でネガティブ情報として取り上げられる可能性があります。企業の社会的信頼が薄れ、株価が下落します。顧客に不安を与え、顧客離れが起きます。
開示義務もありますし、検索結果にも反映されるワケで、事故の有無は半永久的に残ります。有難いことに専門機関やサイトでも頼みもしないのに、その事由をデータベース掲載してくれます。
クロールで残さぬよう開示情報を「画像」で掲載するなどの姑息な手段を取ると、炎上し兼ねませんので、余計な浅知恵は働かせない方が賢明です。
起きてしまったことを包む隠す労力よりも、事実をしっかりと把握して再発防止に取り組むことが建設的であり、社会的信用回復の第1歩となるのです。


Reports to regulatory agencies may be taken up as negative information in the media or in posting information online. Corporate social confidence is weakening, and stock prices are falling. Anxious to customers, leaving customers.
There is an obligation to disclose it, and it is reflected in search results, and the presence or absence of an accident remains semipermanently. Thankfully, even if you don’t even rely on a specialized agency or site, it will post the reason on the database.
If you take palliative measures such as posting the disclosure information in “images” so that it will not be left behind by crawls, it may burn up, so it is wise not to use extra Asawi.
Rather than trying to conceal what has happened, it is more constructive to understand the facts and work on preventing recurrence, and it is the first step in restoring social trust.


訴訟リスク
カード情報が流出した結果、被害者から訴訟を受ける可能性があります。損害賠償責任を負うだけでなく、訴訟にかかわる費用や、訴訟の対応に要する手間と時間は、事業者にとって大きな負担となります。


Leaks of card information can result in litigation from victims. Not only will you be liable for damages, but the costs involved in litigation and the time and effort required to respond to litigation will be a great burden for operators.


行政指導が入るおそれ
クレジットカード情報が流出した場合、事件・事故として監督官庁に報告することになります。割販法により、当局からの立ち入り検査などの行政指導等を受ける可能性があります。


If the credit card information is leaked, it will be reported to regulatory authorities as an incident or accident. According to the Discount Sales Act, there is a possibility of receiving administrative guidance from the authorities such as on-site inspection.


今後狙われるのは大手ではなく中小自社EC

もう理由は簡単。セキュリティ意識が著しく低く、対策も「なきに等しい」からです。店の鍵を閉めずに、レジは開けっ放しで、管理室にも出入り自由、そこの金庫にも鍵はかかっていません。さぁ奪ってくださいと言っているようなモンです。

だた彼らが狙うのは現金ではありません。短期でサクっと使えるクレジットカード情報です。無論使った後でもデータ自体を販売できますから、2度オイシイってことです。

「ウチみたいな小さい事業のサイトなんて狙わないでしょ」とタカをくくっていると痛い目に遭いますね間違いなく。セキュリティの甘いサイトか否かなど、ハッカーという人間が判断するワケではありませんから。機械的に「選出」されればそれまでなのです。規模など関係ありません、取りやすいか否かなのです。


The reason is simple. Security awareness is extremely low, and measures are “equivalent to nothing.” Without closing the store keys, the cash register is left open, you can enter and leave the administration room, and the safe is not locked. It’s a mon that tells you to take it.

But they don’t aim for cash. Credit card information that can be used quickly in a short time. Of course, you can sell the data even after using it, so it’s twice as good.

“I don’t want to aim for a small business site like my home.” Hackers aren’t the only ones who judge whether or not a site has low security. If it is mechanically “elected”, that’s it. It doesn’t matter what the scale is, it’s easy to take.


脆弱性をついた攻撃手法

SQLインジェクション
アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法です。


This is an attack method that illegally manipulates the database system by executing SQL statements that the application does not expect.


XSS(クロスサイトスクリプティング)
他人のWebサイトへ悪意のあるスクリプトを埋め込み、ユーザーがお問い合わせフォームを送信した際に問い合わせ情報を抜き取る、またはサンクスページを悪質なサイトに入れ替える攻撃です。


An attack that embeds a malicious script into someone else’s Web site, extracts contact information when a user submits an inquiry form, or replaces a Thanks page with a malicious one.


ゼロデイ攻撃
ソフトウェアのセキュリティ上に発見された脆弱性を悪用する攻撃です。メーカーや研究者から問題が公表され、修正プログラムが公表される前に攻撃します。


Attacks that exploit vulnerabilities found in software security. Manufacturers and researchers report issues and attack before patches are released.


アカウントの乗っ取り
Webサーバにリモートアクセスできる管理用アカウントの情報を窃取し、管理者になりすまし改ざんします。
アカウント窃取の方法は脆弱性攻撃、フィッシング詐欺などが挙げられます。また、組織内のネットワークに侵入し、管理用のPCを乗っ取って改ざんを行う方法もあります。


Steals the information of a management account that can remotely access the Web server and falsifies as an administrator.
Account stealing methods include vulnerability attacks and phishing scams. There is also a way to break into an organization’s network and hijack a management PC to tamper with it.


行うべきセキュリティ対策

クレジットカード情報非保持化

「クレジットカード情報の非保持化」とは、クレジットカード情報を自社のECサイトのサーバやネットワークなどの環境にて「通過」させない、「保存」しない、「処理」しないことを指します。自社のECシステム内ではクレジットカード情報を一切扱わず、クレジットカード決済を十分なセキュリティ対策がされている決済サービスへ委託します。


“Non-holding of credit card information” means that credit card information is not “passed”, “stored” or “processed” in the environment of the company’s EC site server or network. We do not handle any credit card information in our EC system, and outsource the credit card payment to a payment service that has sufficient security measures.


クレジットカード不正利用対策

本人認証(3Dセキュア)
本人認証は、カード保有者がカード発行会社に事前登録したインターネット取引専用パスワードを使うことでカード所有者であることを確認し、第三者によるカードの不正使用を防止します。


Personal authentication uses a password dedicated to Internet transactions that the cardholder pre-registers with the card issuer to confirm that the cardholder is the cardholder and prevents unauthorized use of the card by a third party.


券面認証(セキュリティコード)
カード券面に記載の3~4桁の数字をウェブ上で入力することで、不正使用を防止します。


By entering the 3- or 4-digit number shown on the card face on the web, unauthorized use is prevented.


配送先情報判別対策
過去の不正配送先を蓄積することで不正取引の判断材料に活用します。属性・行動分析と組み合わせて精度を上げることも可能です。過去の不正配送先情報を提供するサービスもあり、これらの活用も有効です。


By accumulating past illegal delivery destinations, it can be used to determine illegal transactions. It is also possible to increase the accuracy in combination with attribute and behavior analysis. There is also a service that provides information on past unauthorized shipping destinations, and their use is also effective.


不正検知サービスの導入
過去の取引情報等に基づいたリスク評価によって不正取引を判定します。デバイス情報や通信情報など各種情報を組み合わせることで不正検知の精度も向上できます。

どんな対策をしようとも、不正アクセスが撲滅されることはないでしょう。次の手を打って新たな不正アクセスや情報漏えい手段を講じてくるに違いありません。ただどんな巧妙な手口を使おうとも不正アクセスする側にもリスクがあるワケですから、そのリスクを高めれば、相応の防止と抑止につながるのは間違いありません。

キャッシュレス決済促進でのペイメントサービスやアプリが続々と増える状況において、それだけ漏えい機会もリスクも増えるワケです。大手サイトやサービスがターゲットであることは間違いないとしても、危機意識の乏しい中小サイトから情報を抜き出した方が、ハッキング効率は高いというものです。なんなら、カードの不正利用状況が発覚するまで、不正アクセスにさえ気がつくケースも稀かも知れません。

SSLにも非対応なECサイト、驚くほど多いですからね。

最後に。
センシティブな内容なので、要約するにしても記述的な間違いがないよう、元サイト記事の掲載記述を転記している箇所が多数あります。詳細は改めてリンク先の記事を精読することをオススメ致します。


Judge illegal transactions by risk evaluation based on past transaction information. By combining various types of information such as device information and communication information, the accuracy of fraud detection can be improved.

No matter what measures you take, unauthorized access will not be eliminated. The next step must be to take new unauthorized access and information leakage measures. However, no matter what tricks you use, there is a risk to unauthorized access, so raising that risk will definitely lead to appropriate prevention and deterrence.

As payment services and applications for cashless payment promotion increase one after another, the chances of leakage and the risk increase. Even if it is certain that major sites and services are the targets, extracting information from small and medium-sized sites with low awareness of crisis is more effective in hacking. It may be rare that even unauthorized access will be noticed until the unauthorized use of the card is discovered.

There are surprisingly many EC sites that do not support SSL.

Finally.
Because it is sensitive content, there are many places where the description of the original site article is transcribed so that there is no mistake in description even if it is summarized. For details, we recommend that you carefully read the linked article again.






AMPtoPWA,AMP,PWA,アプリライク,Sippli,シプリ,ホームアイコン,オフライン表示,高速表示,サービスワーカー,次世代サイト規格,BCラボ,マーケティングコラム,自社EC,ブランドEC,


この記事が気に入ったら
いいね ! しよう

ピックアップ記事

  1. 2020年に押さえておくべきたったひとつのECリアルトレンド
  2. LINE公式アカウント運用術 自動化を実現するMessageAPI拡張ツール選
  3. 【 MA事例 】ファッションECの導入成果を探ると見えてきた共通項
  4. 【 MA用語集 】明日から使えるMA通を振る舞う用語講座
  5. 【 MA導入 】MAツールをECサイトで導入すべきタイミングと規模感とは | B…

関連記事

  1. 自社EC戦略,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,

    マーケティングトレンド

    自社EC戦略 掲げる脱プラットフォームの先にあるD2C理想郷

    モールやプラットフォームの都合だけでなく、業界の常識や商慣習などカンケ…

  2. ショッピングアプリ動向,BCラボ,ブランドコマース,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,セールスプランニング,B2CEC,

    マーケティングトレンド

    ショッピングアプリ動向 Criteo最新調査から伺うアプリチャネルの存在感

    実店舗かECかという小売チャネルのアドバンスの選択は決定的な状況となり…

  3. 国内メジャーECモール,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,

    メジャーモール

    国内メジャーECモール いまさら聞けないキホンの基

    国内メジャーECモール という括りに、アマゾン、楽天市場、ヤフーショ…

  4. LINE配信,LINE公式アカウント活用,LINE機能,売上拡大,集客,販売促進,基本機能,便利機能,オプション機能,メッセージ配信,通知メッセージ,LINE Official Account Manager,Messaging API, BCラボ,ブランドEC,B2C,ECマーケティング,マーケティング,コラム,

    LINEマーケティング

    LINE配信 今知っておくべきメッセージ機能のキホン

    何も考えず一斉配信の方がお手軽お気楽であるのは間違いありませんが、無料…

  5. 越境EC実態,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,

    マーケティングトレンド

    越境EC実態 インスタグラムが10代女子をグローバルに道標

    EC鎖国なジャパンの 越境EC実態 におかれましては、業者も消費者も言…

  6. 自社EC決済,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,

    マーケティングトレンド

    自社EC決済 導入すべきお支払い方法選手権

    経済産業省発表の電子商取引に関する市場調査によれば、クレジットカード決…




人気記事

  1. Google表示速度スコア,Googel PageSpeed Insights,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,
  2. ECリアルトレンド,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,
  3. LINE公式アカウント運用術,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,
  4. 個客対応,BCラボ,ECマーケティング,マーケティングコラム,
  5. EC勢力図,BCラボ,ECマーケティング,マーケティングコラム,

パーソナライズを仕組み化 / INSIGHT HUB

インサイトハブ,INSIGHTHUB,BCラボ,ECマーケティング,マーケティングコラム,

最近の記事

  1. ブランドECの可能性,BCラボ,ブランドコマース,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,セールスプランニング,B2CEC,
  2. インスタショッピング機能,BCラボ,ブランドコマース,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,セールスプランニング,B2CEC,
  3. 有名通販企業EC担当者,BCラボ,ブランドコマース,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,セールスプランニング,B2CEC,
  4. アップセル,BCラボ,ブランドコマース,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,セールスプランニング,B2CEC,
  5. セグメンテーション,BCラボ,ブランドコマース,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,セールスプランニング,B2CEC,
  1. ECリアルトレンド,BCラボ,マーケティングコラム,自社EC,ブランドEC,マーケティング運用代行,販促プランニング,

    コラム

    2020年に押さえておくべきたったひとつのECリアルトレンド
  2. EC勢力図,BCラボ,ECマーケティング,マーケティングコラム,

    メジャーモール

    【2019年版】 EC勢力図 国内モール・カート・システムの稼働店舗数 | BC…
  3. パーソナライズEC,BCラボ,ECマーケティング,マーケティングコラム,

    マーケティングトレンド

    パーソナライズECが実現するオムニなマーケティング最適化
  4. 個客対応,BCラボ,ECマーケティング,マーケティングコラム,

    MAツール

    個客対応 待ったなし!MA運用で気をつけたい8つのこと | BCラボ ブランドE…
  5. 表示速度,BCラボ,ECマーケティング,マーケティングコラム,

    マーケティングトレンド

    表示速度の遅いモバイルサイトに訪れる4つの悲劇とは | BCラボ ブランドEC研…
PAGE TOP