2018年夏頃から、非保持化を対応済みのECサイトでカード情報が流出する事件が相次いでいます。その手口は、消費者が買い物をするためにECサイトで入力したカード情報を、何らかの方法で不正犯にも送信させることにより、決済に必要となるカード番号、有効期限、セキュリティコードを窃取するというものです。

対面加盟店では、古くから磁気ストライプをそのままコピーして偽造カードを作成する「スキミング」という手口が存在しましたが、そのオンライン版ということで「オンラインスキミング」と呼ばれています。『実行計画』の後継として2020年3月に公表された『クレジットカード・セキュリティガイドライン』では、非保持化を達成した加盟店にも自ら必要な追加のセキュリティ対策を求めています。

同様の事件は世界中で多発しており、PCI DSSの維持・管理を担うPCI Security Standards Council（PCI SSC）からも2019年8月に注意喚起のプレスリリースが発表されました。しかしECサイトからの情報流出はいまだに増え続けており、その対策が急務となっています。しかしその発生メカニズムは複雑で、文書や図版だけの説明では理解が困難です。

▼本記事の続きと解説動画は、以下のサイトに掲載されています。

ｆｊコンサルティング株式会社
https://www.fjconsulting.jp/news/stop-online-skimming/

株式会社DataSign
https://datasign.jp/blog/stop-online-skimming/