クレジットカード情報は、どのように盗まれるのかお伝えしますので、PCI DSSで情報強化を図りたい方もよくご覧ください。
SQLインジェクションによるカード情報の抜き取りが挙げられます。
ECサイトなどのWebサーバに対して、不正なデータベースコマンドを入力して、データベースサーバに保存されている情報を抜き取る方法で、最も典型的な手法です。
バックドアによるカード情報の詐取の手口が有名です。
Webサイトのカード決済画面や、アプリケーションサーバにバックドアを潜ませることにより、カード情報を悪意のある第三者のサーバにも送信されてしまいます。
カードの決済情報は、通常通りPSP(決済代行事業者)にも送られるため、決済は正規に完了します。
そのためカード情報の流出に気付かず、長い期間に渡ってカード情報が流出し続けるケースが多く、その問題を未然に防ぐためのPCI DSS準拠が重要です。
米国で急増中の、POSマルウェアによるカード情報盗難の事例があります。
加盟店の店舗内のPOSマシンで使用しているネットワークと接続しているネットワーク(Wi-Fiなど)を利用しているPCなどから、POSマルウェアが感染します。
POSマシンや、ストアサーバからカード情報を検索し、外部に不正に送信します。
PCI DSSで、POSマルウェアを防げるようになることを願うばかりです。
この記事のライター
