ラジオを通してセキュリティを身近に！配信内容まとめ記事　～その4～

クレジットカード決済のセキュリティについて議論を取りまとめた報告書が公開されています。クレジットカードのインシデントに関する情報が早期に共有されることのメリットや、クレジットカードの利用者側でできる対策について説明します。

利用者への早期の通知がもたらすメリットとして、利用者が不正利用の被害拡大を防止できることが挙げられます。

・・・（中略）・・・クレジットカード番号等の特定ができない段階で利用者に周知・公表した場合でも、利用者自身でクレジットカード番号等が不正利用されていないかを確認し、二次被害となる不正利用の防止のための注意喚起となります。よって、事業者の社会的責任として、また消費者安全の領域では、原因不明であっても事故情報そのものについては一刻も早く伝えることが社会の総意となってきています。

クレジットカード利用者側ができる対策として、初めて使うECサイトでクレジットカード情報を入力する際は、いつも以上に注意することが必要です。

・・・（中略）・・・プライバシーマークを取得しているか確認することがあげられます。プライバシーマーク制度とは、事業者が個人情報の取扱いを適切に行う体制等を整備していることを評価し、その証としてプライバシーマークの使用を認める制度です。消費者に個人情報保護の取扱いを適切に行う体制を整備していることを伝えることができます。

とはいえ、プライバシーマーク自体の不正利用も確認されており、悪意のあるサイトに対してはフィッシング詐欺で挙げられるような対策も、合わせて実施することが求められます。

DMARCとは、メール送信者のドメインを認証する仕組みです。認証に失敗した場合の処理はメールに書かれている送信元の管理者が決められます。

メールをはがきに例えてDMARCを説明します。宛名が間違っていると目的の相手には届きませんが、差出人が書かれていなくても、仮に間違っていても、宛名の住所には郵送されます。仮にこれを悪用すると、Aさんになりすました僕が、Bさんへはがきを送ることも簡単にできるわけです。

このなりすましを防ぐためには、はがきに書かれた差出人が、はがきを投函した本人であるか確認することが必要です。例えば、消印が押された郵便局と差出人の住所が同じ地域であれば、なりすましではないことが考えられます。ただしこれでも、Bさんがなりすましに気が付くことはできても、Aさん自身が僕の成りすましについて認識することはできません。仮にAさんが気が付くためには、差出人と消印が異なるなど、なりすましと判断されるはがきが投函された際の処理を、Aさんがあらかじめ郵便局へ届け出ることが本来求められるわけです。

・・・（中略）・・・DMARCでは、メールに書かれている送信者がその処理を決められるため、受信者をなりすましメールから保護すると同時に、送信者がなりすまされている状況について把握することが可能となります。

・・・（中略）・・・他国に比べてDMARC導入率が低い理由は、日本の文化が影響していることが考えられます。

仮に有効な対策だとわかっていてもガイドラインなどで示されない限り手を出さない状況を、記事では「茹でガエル的企業文化」と指摘しています。新しいことに挑戦して責任を問われるより現状維持で縮小均衡することをよしとする日本の組織風土が、セキュリティ対策についても新しい技術を導入に遅れが生じる原因となっており、そのような状況がDMARC導入率にも表れていることが考えられます。

また、攻撃者の視点で考えた場合、DMARC対応をしていることが情報収集や偵察段階で判明すれば「セキュリティ対策を怠らないターゲット」と攻撃者に思われることで、サイバー攻撃の標的になりづらいことが期待できます。このような効果が、メールのなりすまし対策に限らず、セキュリティ対策全般において、攻撃者の視点を持つことが重要視されている理由です。まさに「彼を知り己を知れば百戦殆からず」の言葉の通りですね。