前回は、2025年の総括として「ランサムウェア」についての内容を取り上げました。ご興味のある方は、ぜひご覧ください。
今回は、クレジットカードの情報漏洩を取り扱っていきます。
「ECサイトにクレジットカード情報を登録するのは怖いから、面倒でも毎回手入力している」
皆様の中でもこのような対応をしている方はいらっしゃるのではないでしょうか。実は、この「安全対策」が、一部誤解に基づいているとしたらどうでしょうか。
徳丸浩氏が以前X上で指摘した内容を見ていきます。
「攻撃側はカード情報を入力するタイミングで盗むので、登録したほうが漏れにくい」という、一見すると常識に反する内容です(※1)。タリーズコーヒーの公式ECサイトで5万件以上のクレジットカード情報が流出した事件をきっかけに、多くのユーザーが「カード情報の登録は危険」と考えるようになりましたが、実はその対策が逆効果だったというのです。
今回は、このカード情報漏洩の「本当」を深掘りしながら、Web担当者や情シス担当者が知っておくべきセキュリティの本質について解説していきます。
(※1)https://twitter.com/ockeghem/status/1842040774021808456
データベースではなく「入力の瞬間」が狙われている
徳丸氏によると、2018年以降に公表されたECサイトからのカード情報漏洩事件において、「データベースに蓄積されていたカード情報が漏洩したケースは1件もない」という事実があるということです(※2)。
つまり、現代のカード情報漏洩は、サイトに保存された情報が盗まれるのではなく、ユーザーが入力フォームにカード番号を打ち込んだまさにその瞬間に窃取されているということになります。
この攻撃手法は「Webスキミング」や「フォームジャッキング」と呼ばれ、具体的には決済画面に不正なJavaScriptコードを仕込むことで実現されます。ユーザーがカード番号を入力すると、その情報は正規の決済代行業者だけでなく、攻撃者が用意したサーバーにも同時送信されてしまいます。決済自体は正常に完了するため、ユーザーも事業者も被害に気づきにくいという特徴です(※3)。とても厄介ですね。
2018年の改正割賦販売法により、ECサイト事業者にはクレジットカード情報の「非保持化」が義務付けられました。これにより多くのECサイトはカード情報をデータベースに保存しない仕組みになっています。しかし皮肉なことに、この「非保持化」が進んだ結果、攻撃者は「入力時の窃取」という手法に集中するようになったのです。
つまり、「カード情報を登録せずに毎回入力する」という対策は、攻撃者にとって都合の良い行動と言えます。入力の回数が増えれば増えるほど、情報を盗まれるチャンスも増えるからです。信頼できるECサイトであれば、一度登録した情報を使い回すほうが、入力回数を減らせるため結果的に安全性が高まるというのが、セキュリティ専門家の見解です。
(※2)https://x.com/ockeghem/status/1842040774021808456
(※3)https://unitis.jp/articles/12277/
Web担当者が押さえるべき本質的な対策
では、ECサイトを運営する企業や、社内システムを管理する情シス担当者は、どのような対策を講じるべきでしょうか。
より本質的には、「企業として、Webセキュリティに関する知識を高めていくこと」ではないかと思います。
もちろん、脆弱性診断の実施や迅速な対応改ざん検知の仕組み導入、WAF(Webアプリケーションファイアウォール)の導入、パスワード管理の徹底といった基本対策は進めたほうが良いです。特にクロスサイトスクリプティング(XSS)の脆弱性は、攻撃者がサイトに不正なJavaScriptを注入する入口となるため、重点的な対策が必要です。
こうした技術的対策の根底には、「クレジットカード情報は極めて危険なもの」という認識が必要です。カード情報は世界中で悪用でき、日本国内だけでも年間555億円以上の不正利用被害が発生していますので、非保持化だけでは不十分であり、多層的なセキュリティ対策が求められているのです。(※4)
しかし、これらも基本的なWebセキュリティの知識があってこそです。
(※4)https://pcireadycloud.com/blog/2025/10/02/6292/
学びを深めるために―徳丸本と徳丸試験のすすめ
今回解説したWebスキミングやXSS脆弱性といった攻撃手法は、「体系的に学ぶ 安全なWebアプリケーションの作り方」(通称・徳丸本)の第4章「Webアプリケーションの機能別に見るセキュリティバグ」や第5章「代表的なセキュリティ機能」で詳しく解説されています。特にJavaScriptを悪用した攻撃の仕組みや、入力値検証の重要性については、実践的なコード例とともに学ぶことができます。
セキュリティは「知っているつもり」が最も危険です。今回ご紹介した「カード情報は毎回入力したほうが安全」という誤解のように、直感に反する事実も多く存在します。体系的な知識を身につけるためにも、ぜひ徳丸本での学習をおすすめします。
そして、学んだ知識がしっかり身についているかを確認したい方には「徳丸試験」が最適です。実務で必要とされるWebセキュリティの知識を、客観的に測ることができます。社内のWeb担当者や開発チームのスキルアップに、ぜひご活用ください。
【徳丸本】
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
徳丸浩のWebセキュリティ教室
