2024年、EC(電子商取引)サイトから3年近くクレジットカード情報が漏洩し続けていたというセキュリティー事故の公表が相次いだ。ここまで長い漏洩期間の事故が多数見つかるのは珍しい。クレジットカード情報漏洩事故の最新動向と、漏洩期間が長期化した理由を探る。
年々増加するクレジットカードの不正利用。日本クレジット協会が公表した2023年の不正利用被害額は540.9億円で、そのうち504.7億円(93.3%)は盗用された番号によるものだった。番号盗用の被害額は2021年が311.7億円、2022年が411.7億円で、毎年約100億円増えている。
Webサービスの不正検知サービスを提供するかっこと、クレジットカード関連のセキュリティーサービスを提供するリンクが2025年1月30日、カード情報流出とECサイトの不正利用被害の実態を独自に調査したリポート「キャッシュレスセキュリティレポート2024年7-9月版」を公開した。このリポートによれば、2024年1月から9月までに公表されたECサイトのクレジットカード情報漏洩事故のうち、漏洩期間が3年前後の事故が22件あったという。いずれもECサイトが攻撃者による改ざんに気付かず、改ざんされた状態が長く続いたために顧客のクレジットカード情報が大量に流出した。
漏洩期間の長期化が顕著に
ECサイトの改ざんによるクレジットカード情報漏洩で、漏洩期間が3年近い事故が目立つのは2024年からだ。かっことリンクによれば、2023年に公表された事故で漏洩期間が3年以上だったものは37件中1件しかなかった。一方、2025年も漏洩期間が3年を超える事故が公表されている。
なぜ漏洩期間が長期化するのか。クレジットカードには有効期限があるため、カード情報を入手してから利用するまでに時間がかかるとその間にカードが失効する可能性がある。また、ECサイトが改ざん被害を公表すれば、被害者がクレジットカードを使用できないように手続きしてしまうかもしれない。攻撃者にとって、入手したばかりのカード情報のほうが悪用しやすいだろう。
この点について、なるべく多くのクレジットカード情報を窃取するためではないかと指摘する専門家がいる。EGセキュアソリューションズの徳丸浩取締役CTOは「クレジットカード情報の悪用を開始すると、昨今不正利用の検知に力を入れているクレジットカード会社によって改ざんされたECサイトに連絡が入り対処されてしまう。推測だが、攻撃者は3年近く情報を集めてから、一気に悪用を始めるという運用にしたのではないか」と話す。有効期限については、クレジットカードを更新しても番号は変わらないため、悪用の障害になりにくいと見られる。
上記の表で取り上げた事故のうち、1万件を超えるクレジットカード情報が漏洩した事故は22件中9件と4割超だった。漏洩期間が長期化することが、事故1件当たりのクレジットカード情報漏洩件数増加にもつながっている。