カード情報漏洩インシデント調査レポート【2023年上半期】

【2023年上半期国内カード情報漏えいインシデントの主な数字】

　・20件のカード情報漏えいリリース（前期24件、前年同期23件）

　・累計カード漏えい件数は184,169件（前期比▲17％、前年同期比▲73％）

　・平均侵害期間は416日（前期比＋74％、前年同期比＋33％）

　・侵害～事件公表までの期間は139日（前期138日、前年同期180日）

　・EC-CUBE利用が推定されるECサイトは12件／60％（前期38％、前年同期96％）

2023年上半期に発表があったカード情報漏えいインシデントは20件でした。2022年下半期と比較するとやや発表件数は減少（23件→20件）しましたが、累計漏えい件数は微増（161,298件→184,149件）しています。

昨年7月に発表されたサービスプロバイダーの侵害を原因とする利用ECサイトからのインシデント発表が1月に4件ありました。フォレンジック調査の結果を待ち、関係各所と調整の上で発表するECサイトが未だに多く、初報が遅い事もカード情報漏洩インシデントにおける課題となっています。

【被害を受けたECサイトで利用していたカートパッケージ】※一部推測を含む

・EC-CUBE ：12サイト/60%

　（EC-CUBE2系）：1サイト（前期比▲50％、前年同期比▲92％）

　（EC-CUBE3系）：9サイト（前期比＋450％、前年同期比±0％）

　（EC-CUBE4系）：2サイト（前期比±0％、前年同期比＋200％）

・その他 ：8サイト/40％

　　※Showcase4、不明（自社開発）4

侵害を受けたECサイト構築パッケージでは、相変わらずEC-CUBEが占める割合が高いものの、内訳をみると従来のEC-CUBE2系から、3系、4系にシフトしており、これは2021年5月に公表されたクロスサイトスクリプティングの脆弱性が悪用されたケースが多いのではないかと推測しています。

【被害組織の資本金規模】

被害を受けたECサイトの多く（約3/4）が資本金1億円以下の組織となっています。これは被害が続いているEC-CUBEの利用企業に中小ECサイトが多い事が影響しているものと思われます。

大企業のECサイトが被害を受けているケースでは、自社開発（パッケージ不明）が多い様に思われます。インシデントの原因については公表されていませんので、推測となりますが、被害を受けたECサイトの多くが、リリース後に定期的に脆弱性診断を実施していなかった事が影響したのではないかと思います。

※クレジットカード・セキュリティガイドライン4.0版では脆弱性対策などの基本的な対策を実施する事を求めています

【1インシデント当たりのカード情報漏洩規模】

2023年上半期のインシデントは、大手ソフトウェア企業のインシデント（約11.2万件）を除くと、1万件以下のカード情報漏洩規模が大半を占めました。この事からほとんどのケースでは、既知の脆弱性を狙って広く薄く攻撃を仕掛けてきていると推測されます。

【インシデント検知者】

カード情報漏洩インシデントの大半のケースで、カード会社（決済代行会社）から不正利用の疑いについてECサイトが連絡を受けてインシデントが発覚しており、自社で検知ができてない事から、侵害日数が長くなっているケースも多く、対応が後手に回っている状況が続いています。

自社でインシデント兆候を検知できていない背景としては、カード情報非保持を達成した事で十分と考えているECサイトが多いものと推測されます。他ECサイトのインシデント事例、あるいはサービスプロバイダーからの注意喚起が、多くのECサイト運営者に「届いていない」状況の中、危険性の高い脆弱性への対応がされていないECサイトが同じ攻撃パターンで狙われていると考えられます。

＜推奨対策＞

・修正プログラム適用のルールを確認（なければ作る！）

・定期的なWeb脆弱性診断の実施

・ECカート提供事業者の脆弱性情報のウォッチ

・他社インシデント事例のウォッチ（*Fox on Security）

【インシデントリリース生存率】