「FacebookでログインできるWebサイト」から情報漏えい、責任は誰にある？：カード情報を守り抜く“別経路”のセキュリティ対策【後編】

オンラインショッピングやオンラインバンキングで利用されるクレジットカード情報。その保護に役立つのが“別経路”のセキュリティ対策だ。前編に続き、その考慮事項を示す。

[Philip Alexander，TechTarget]

“別経路”のセキュリティを実装する際の考慮事項

　前編「『秘密の質問』はもう“秘密”じゃない？　Facebookでカード情報保護に異変」では、クレジットカード情報の保護方法として、通常のシステムとは別経路（アウトオブバンド）のセキュリティ対策を適用することの重要性を指摘。アウトオブバンドのセキュリティに関する6つの考慮事項のうち2つを説明した。後編では、残り4つの考慮事項を紹介する。

関連記事

• 「秘密の質問」はもう“秘密”じゃない？　Facebookでカード情報保護に異変
• FacebookやTwitterを危険にする「パスワード使い回し」
• 世界中で狙われる「Facebook」、そのセキュリティ対策は他社でも役立つ？
• セキュリティ担当に女性はなぜ少ない？　Facebook幹部が「残念な誤解」を指摘

考慮事項3：SNSの影響

　ほとんどのオンライン小売業者、特にクレジットカードやデビットカード情報を収集する業者は、ある程度のセキュリティ意識を持っている。だがセキュリティが主な懸念事項ではないSNS事業者に、そこまでの意識があるかどうかは疑問だ。

　とはいうものの、非常に多くのオンライン小売業者が、米Facebook、米Twitter、米Instagram、米Gmailのアカウントを使って自社のWebサイトやアプリにログインできるようにしている。つまり、攻撃者はオンライン小売業者をハッキングしてアカウントを盗む必要はなく、SNSのセキュリティを回避すれば事が足りる。

　アクセス制御についていうと、SNS事業者を含むサードパーティーの資格情報を受け入れると、そのサードパーティーのセキュリティ制御がデフォルトになる。そのため、サードパーティーのセキュリティ制御を完全に理解して信頼することが不可欠だ。企業はこのことを認識しなくてはならない。

　同じユーザー名とパスワードの組み合わせを複数のSNSで使い回す顧客も多い。オンラインバンキングやオンラインショッピングサイトでは、そのような行為を回避するよう呼びかける必要がある。

関連記事

• “パスワード使い回し”を悲劇に変える「アカウントリスト型攻撃」とは
• 「私のパスワード、2万円なら売ります」――セキュリティ調査で14％が回答

　オンライン小売業者は、自前のネットワークアクセス制御を利用するのが賢明だ。顧客がサードパーティーの資格情報を使用してWebサイトへアクセスできるようにしている場合、セキュリティを外注しているとはいえ、セキュリティの責任を自社で負っていることに変わりはない。Webサイトがハッキングされた場合、その被害には自社で対処する必要がある。SNSのログイン資格情報を責めたところで何にもならない。

考慮事項4：保護対象は「カード所有者」であることを認識

　保護するのは、オンライン小売業者のセキュリティではなく、クレジットカードやデビットカード所有者のセキュリティであることを忘れないようにすべきだ。

　オンライン小売業者のWebサイトに顧客がクレジットカードを登録する際、アウトオブバンドの承認を必須にすると、どのようなセキュリティ上のメリットが得られるのだろうか。例えば、顧客が初めてクレジットカードを使用するとき、登録されているメールアドレスか携帯電話へ通知するWebサイトも存在する。大手サイトでは、新しい住所や未承認の住所に製品を送付する場合にも、アウトオブバンドの承認を必要にしている場合もある。

　これらの制御はカード自体と結び付いており、オンライン小売業者は関わらない。この通知は、米国西海岸在住の顧客が、東海岸でクレジットカードを使用して買い物しようとした場合に送信される通知と似ている。

考慮事項5：「いつもと違う行為」に気を付ける

　オンライン店舗と実店舗の小売業者の元でクレジットカードやデビットカードの口座情報を保護するだけが、アウトオブバンドのセキュリティ制御ではない。ほとんどの場合、銀行の顧客が使用する現金自動預け払い機（ATM）の数は限られている。通常は自宅や職場に近いものが利用され、いつも大体同じ額が引き出される。

　そこで「Know your customer」（顧客確認）の概念を使用する。つまり、通常と異なる事象が発生した場合には、事前に登録されたメールアカウントか携帯電話に通知を送信するようにした方がよい。いつもの場所と異なるATMから預金が引き出された場合、いつもと違う額が要求された場合、異常な頻度で引き出されている場合がこれに該当する。正当なカード所有者は、この取引が適切かどうかを認めるだけでよい。

　ハッキングを完全に防ぐ方法はないと考えると、このアウトオブバンドのセキュリティ対策は、攻撃者に別のハードルを課す一助となるだろう。

考慮事項6：携帯電話の効果的な使用

　携帯電話に通知を送信すると、メールと比べてすぐに確認できるだけでなく、安全性も高くなる。無料のインターネットメールへの通知はお勧めできない。ユーザー名とパスワードがあれば、世界のどこにいてもハッカーがオンラインのメールアカウントにアクセスできるからだ。一方、携帯電話に送信されるメッセージが傍受しにくいのは全世界共通である。

---

　データの流出事件は相次いでいる。顧客が利用するかもしれないオンライン店舗や実店舗の小売業者のセキュリティを金融機関が確保するのは難しい。だが資産自体と関連付ければ、セキュリティ対策はどのような場所でも効果を発揮する。