全3158文字
電子商取引(EC)サイトからのクレジットカード情報の漏洩が後を絶たない。クレジットカード各社は、自社のWebページでクレジットカード情報の漏洩事例を公表している。それらを合わせると、1カ月に10件以上の事例が報告され続けている。
このうち報道されるのは一部にすぎない。「大企業のサイトから漏洩した」「被害ユーザーの数が多い」「新しい攻撃手法が使われた」といった何らかの特徴を持つ事例だけがメディアで取り上げられる。
カード情報が漏洩したと聞くと、「ECサイトがデータベースに保存していた情報が漏洩した」と考えるのが普通だろう。データベースに保存された情報は「SQL」という問い合わせ言語を使うことで取り出せる。
攻撃者がSQLを悪用してデータベースの情報を読み取る攻撃が「SQLインジェクション」だ。ECサイトがSQLインジェクションの脆弱性を持っていると、データベースの情報を攻撃者に盗まれてしまう。実際に、SQLインジェクションによってカード情報が漏洩する事例は多い。
例えば、「イモトのWiFi」で有名なエクスコムグローバルで2013年に10万件以上のカード情報が漏洩した事件において、この攻撃が使われた。同社のサイトでは、本来はデータベースに保存することが禁じられている「セキュリティーコード」を業務上の都合で保存しており、それがカード情報と共に漏洩したことで大きな問題になった。
相次ぐカード情報の漏洩が問題視され、法的な規制も強化された。改正された割賦販売法が2018年6月に施行され、「ECサイトを含むカード番号取扱業者は、クレジットカードの保護や適切な管理に必要な措置を講じなければならない」と定められた。セキュリティー対策が法律で義務付けられたのだ。
具体的にどのような対策を講じるべきかという実務上の指針が、クレジット取引セキュリティ対策協議会が取りまとめた「クレジットカード・セキュリティガイドライン」だ。
この中で「カード情報の非保持」が対策の1つとして要求されている。「そもそもカード情報を自社で保持していなければ、カード情報を窃取されることがなく、情報漏洩の観点からも有効なセキュリティ対策と考えられる」(出所:クレジットカード・セキュリティガイドライン2.0版)というのがその理由だ。
"クレジット" - Google ニュース
December 03, 2021 at 03:00AM
https://ift.tt/31nkGf8
保存していないクレジットカード情報が漏洩する謎、鍵はあのプログラミング言語 - ITpro
"クレジット" - Google ニュース
https://ift.tt/2PWcSIV
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
Bagikan Berita Ini
0 Response to "保存していないクレジットカード情報が漏洩する謎、鍵はあのプログラミング言語 - ITpro"
Post a Comment