2025年10月6日11:50
不正検知サービスを提供するかっこと、PCI DSS 準拠を促進するクラウドサービス 「PCI DSS Ready Cloud」などを提供するリンクは、クレジットカード情報流出事件に関する統計とECに関する不正利用傾向に関する年次版レポート「キャッシュレスセキュリティレポート2025(2025年10月発行)」を発表した。両社では、2025年9月29日に同レポートの解説やキャッシュレス不正利用の最新動向を紹介するメディア説明会を開催した。今回は2回に分けて、同説明会の内容を紹介する。
10月16日無料セミナー「ペイメント・セキュリティフォーラム2025 fall」開催
政府、業界団体、関連企業が決済のセキュリティ対策などを紹介
カード流出件数が1万件以上の事件が約4割
流出期間1年以上の事件が4分の3
キャッシュレスセキュリティレポートはかっことリンクが発表しているキャッシュレス・セキュリティに関するレポートだ。2022年にfjコンサルティングから初版を公表し、これを継承する形で2023年より四半期版と年次版を公表している。
キャッシュレスセキュリティレポート2025では、カード情報流出事件の傾向、不正利用被害の実態、 EMV3-Dセキュア義務化後の課題と改善策、証券口座乗っ取りの急増と法人狙いのボイスフィッシング被害などを紹介している。同レポートの概要については、YSコンサルティング 代表取締役 瀬田陽介氏が説明した。
国内のカード情報流出事件は業界団体や官公庁による統計が存在しないため、かっことリンクが共同でカード情報を流出された事業者の公開情報などに基づき集計している。事件数は2021年から落ちており、2024年は37件となった。カード情報流出件数は54万722件となり、前年よりわずかに増加している。2023年はカード会社でダイレクトメールの宛先にカード番号を印刷して会員に送付した事故があったが、それを取り除くとそれ以外は加盟店が攻撃されてカード情報が流通した件数となる。
傾向をみると、カード流出件数が1万件以上の事件が約4割となり、流出期間1年以上の事件が4分の3近くを占めているそうだ。
3分の1の13件が警察の指摘による発覚
EC-CUBEの脆弱性を突いた攻撃確認
これまでカード情報の流出はカード会社や決済代行事業者からの通知が主だったが、3分の1の13件が警察の指摘による発覚となり、全体の35.1%を占めた。「それらはすべて2021年に発覚したソフトウェアの脆弱性をついた攻撃」(瀬田氏)であり、カード情報流出が継続していた。具体的には、2021年に始まった改ざんが原因で、EC-CUBEの脆弱性を突いた攻撃が確認されているそうだ。
2025年3月に公表された「クレジットカード・セキュリティガイドライン【6.0版】」では、日本全国すべてのEC加盟店に対し脆弱性対策を新たに義務づけており、対策を講じる必要があるとした。
ECサイトにおける不正利用の概況として、2024年のクレジットカード不正利用被害額は555億円と高止まりしており、過去最高を更新している。その90%以上の手口がECサイトでの番号盗用によるものであり、なりすましによる被害が増加している。その背景として、ECサイトやサービスプロバイダの攻撃に限らず、フィッシングやクレジットマスター(カード番号の規則性を利用して有効なカード番号をプログラムで大量に生成する)攻撃が増えている。これらで入手したカード情報はダークウェブで販売されている。また、2024年は入力情報を窃取する「インフォスティーラー」被害が激増しており、IDやパスワード、ウォレットへの入力を盗まれるなどの被害が増えたそうだ。「インフォスティーラー」に感染すると、フィッシングサイトでカード情報を入力した心当たりがなくてもカード情報を盗られてしまう。さらに、ECサイトのアカウント乗っ取り件数も倍増し、大手ECサイトなどのログイン情報を盗まれ、不正注文の手口が拡大した。
