「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”

2018年に割賦販売法が改正されてECサイトのカード番号非保持化が定められたが現在もカード情報の漏洩は続いている。攻撃の手法として2つの方法が挙げられる。

1つ目はクレジット情報入力画面の改竄。
こちらの手法が主に使用されるのはトークン決済が適用されているサイトである。ECサイトのクレジット情報入力画面を改竄し、トークン取得時に攻撃者にもクレジット情報が送信されるようにしているのだ。

2つ目は偽の決済画面に遷移させる方法。
こちらの手法が主に使用されるのはリンク型決済を使用しているサイトである。決済画面に遷移する処理にて偽の決済画面に遷移するように改竄し、クレジット情報を取得する。情報取得後に正規の決済画面に遷移するようになっているため、ユーザーは偽の画面に遷移したことに気づかない。
どちらの手法も最終的には決済が正常に完了し、購入できるためユーザー側では見破ることは難しい。ユーザー側の対応策としては決済時にプリペイドカードを使用することで被害を小さくするなどが挙げられる。

─ YODOQの見方───────────────────────────

国内で市場規模が拡大しているECサイトだが、海外でも同様に市場規模が拡大している。
日本企業が海外でECサイトを運営する方法は大きく分けて2つある。

1つ目は自社でECサイトを構築し、運営する方法。
自社で構築するため、カスタマイズがしやすい、モール型と異なり制約がないなどのメリットがあります。しかし、翻訳、集客、外国語でのサポート対応、メンテナンスなどをすべて自社で対応する必要があるなどのデメリットがある。

2つ目は国外のECモールに出店する方法。
サイトの構築が不要なため、販売開始までの期間が短く、メンテナンスが不要などがメリットして挙げられます。しかし、利用手数料が発生することや、モールの利用条件に依存するため自由度が低いことなどのデメリットもある。

拠点の問題、取引国の法律の対応、言語の問題などデメリットもあるが、市場規模が拡大しているEC市場を検討しているならば、国内ではなく国外での運営も視野にいれてみてはいかがか。