こういう事態が皆様に発生しないことを祈るばかりですが、クレジットカード情報の漏洩が発生した場合、以下のような推移で対応することになります。

・決済代行会社に報告
・ECサイトの停止
・フォレンジック調査
・被害者への連絡とサイトで報告
・補償
・復旧

順を追って解説します。

漏洩の疑いについては、決済代行会社から連絡される場合、自社で気が付く場合、顧客から連絡される場合などがあります。

決済代行会社からの連絡であれば、すぐに決済代行会社の指示に従って措置を進めることになります。

自社や顧客から何らかの気付きがあった場合は、まずはサーバ上に侵入の形跡があるかを調べます。自社で設置したのではない謎のプログラムファイルがサーバに置かれているなら、それはバックドアかもしれません。さらに、自社でサーバに設置したEC-CUBEやプラグインのソースコードが、オリジナル状態から改竄（かいざん）されていないか比較します。改竄されているなら疑いは濃厚なので、決済代行会社に連絡をとって指示を求めます。

被害が継続しないよう、サーバをインターネットから隔離します。

この際に重要なことですが、怪しいファイルを削除したり、サーバをシャットダウンしたりしないように注意します。状態が変わってしまうことによりフォレンジック調査が難しくなってしまう場合があるからです。

別のサーバなどを用意して、そちらにメンテナンス中といったメッセージを記載し、DNSを設定してそちらが表示されるようにします。

決済代行会社からは、専門業者によるフォレンジック調査の実施を求められます。フォレンジック調査とはサーバから証拠を調査して、いつからどのように被害が発生し、どのクレジットカード情報および個人情報が漏洩したか範囲を明確にすることです。

この調査の依頼先はどんな業者でもよいわけではありません。PFI（PCI Forensic Investigato）認定業者に依頼しなければなりません。そうでなければカード会社は報告を受け取りません。PFI業者の連絡先は決済代行会社からも教えてもらえます。

重要なことですが、フォレンジック調査とその結果の報告はなるべく早い方が良いです。実際に漏洩したカードは一日も早く、再発行する必要があります。その措置がなされるまで、被害が拡大する恐れがあります。被害が拡大すれば補償しなければならない賠償額も大きくなります。ですから、フォレンジック調査会社への連絡と依頼はなるべく早い方が良いです。フォレンジック調査によって、漏洩したカード番号が特定できますが、特定されるまでは顧客に連絡することができず、発表することもできません。

PFI認定業者はブロードバンドセキュリティやNRIセキュアなど、国内では大手セキュリティ会社数社しかありません。そして、フォレンジック調査を依頼したいタイミングでは、多くのECサイトが同様の手口での被害に遭っている場合が少なくありません。そのため、PFI認定業者も忙しく、フォレンジック調査の開始が2,3カ月後になってしまうということもあるようです。PFI認定業者であれば海外の業者でも大丈夫なので、決済代行会社とも相談の上で、海外のPFI認定業者に依頼することも検討できるでしょう。SISA社などインドの会社は世界各地の案件を扱っていますし、国内の業者よりも低コストな場合もありますが、英語でのやりとりを進める必要があります。

フォレンジック調査は1カ月から数カ月程度の期間を要します。フォレンジック調査で被害の範囲が確定したら、決済代行会社に報告します。

フォレンジック調査が完了したら、なるべく速やかに漏洩したお客様に連絡し、サイトでの報告をします。

被害を受けたお客様への連絡内容やサイトでの報告内容が不正確であれば、混乱が発生し、それはカード発行会社にも迷惑がかかることになります。そのため、連絡内容や発表内容は、文面を確定してカード会社の承認を得る必要があります。カード会社からはお客様への連絡に合わせて問い合わせ窓口の設置を求められますので、電話窓口や専用メールアドレスなどを準備します。漏洩規模によっては外部のコールセンターなどに委託することも検討しなければなりません。コールセンターを設置するとなると、準備の期間も必要となります。

お客様への連絡をするまでは、被害が拡大する恐れがありますから、なるべく早めに連絡を取るべきです。フォレンジック調査の経過報告などを受けて、その後の準備も並行して行うなら速やかに対応できます。

カード会社の承認と、問い合わせ窓口の準備ができてから、お客様に連絡しサイトで報告します。

カード発行会社各社から、クレジットカード情報が漏洩したお客様のカード再発行に要した費用と、漏洩したカードが不正利用されてしまった場合の被害を補償することを求められます。それらを支払います。

カード発行会社からの請求は、漏洩したリストにないカードの手数料や被害額が混入していることがあります。カード発行会社は規模が大きい会社ばかりではないので、チェックは必要です。

再発防止策を策定し、決済代行会社に連絡しカード会社に承認をもらい、ECサイトを復旧します。

個人情報保護委員会、最寄りの警察署、情報処理推進機構（IPA）への報告します。フォレンジックが終わらなければ、事件の全体像の報告は行えませんが、事件発生からなるべく早い時期に、まず一時報告を行い、調査終了後に再度報告を行うことになります。決済代行会社からは警察署への被害届の報告を求められますが、被害が明確ではない状況では、被害届としては受理してもらえず、相談受理という扱いになる場合があります。

漏洩発生後の対応としては以上の内容になります。気になるのは金銭的な被害の額ですが、どの程度になるのでしょうか。

まずECサイトのクローズ期間の機会損失があります。再開までのプロセスは最短でも半年近くかかります。1年以上かかることも珍しくないようです。売上規模はサイトごとに異なりますが、少なくとも半年分の売上程度の機会損失は想定されます。クレジットカード決済を使わないなら、ECサイトを再稼働することはできますが、カード情報が漏洩した際には他の個人情報も漏洩しています。そういった情報を報告もしないまま、ECサイトを再開することは大きなレピュテーションリスクがあるかと思います。

フォレンジック調査にも費用がかかります。依頼する業者や、調査対象のサーバの台数によっても金額は異なりますが、400万円くらいからとなります。

カード会社から、漏洩被害者のための電話対応を求められます。被害者の数が多く、外部コールセンターの利用せざるを得ない場合はそういったコストもかかります。その場合、回線数や設置している期間にもよってもコストは変わってきます。

しかし一番大きくなりがちなのは、被害者への補償です。漏洩した全てのクレジットカードの再発行費用の負担を求められます。1件あたり1000円～2000円です。そして不正利用があれば、その被害を求められます。

例えば、毎月200人がクレジットカードを利用していて、5カ月間漏洩していたとしたら1000人です。再発行費用を平均1,500円とすれば、150万円程度です。

上記1000人のうち5%の50人が平均20万円の実被害があったとすれば、1,000万円程度となります。被害の期間を短くするためにもフォレンジック調査を素早く実施することは大切です。

被害総額は、ECサイトのもともとの売上規模や、漏洩した期間の長さなどによって異なってきますが、少なくとも1,000万円程度、規模が大きければ数千万円規模の被害になることが予想されます。

漏洩事件が発生すると大変です。被害を防ぐために事前にできることをお勧め順に上げてみたいと思います。

・サイバー保険に加入する

本質的な対策ではないのですが、すぐにできる対策です。

・WAF（ウェブアプリケーションファイアウォール）を導入する

未知の脆弱性に対する攻撃も含めて、怪しいアクセスをブロックできます。比較的簡単に導入できます。

・既知の脆弱性の対策をする

EC-CUBEの脆弱性対応コードを適用したり、OSのアップデートをします。場合によってはテストなども必要です。

・社内の教育と運用の確認

WAFを入れていても、脆弱性対策を丁寧に実施していても、社内のセキュリティ意識が低いのでは、玄関は鍵をかけても裏口は開けっ放しという状態です。パスワード使いまわし、退職者のアカウントが生きている、個人のPCに個人情報がダウンロードされている、部外者が社内のPCを利用することがある、といった状況では、侵入に高度な技術は必要ありません。社内の教育や運用の整備は最重要項目ですが、時間をかけて対応していく必要があります。

ここまでの項目は未実施であれば、すぐに実施を検討するようにお勧めします。

・改竄の有無のチェック

現在サーバに置いてあるプログラムと、自社で設置したはずのオリジナルのプログラムを比較して、改竄がないことを確認します。心配になったときはこの点検を実施してください。改竄を検知するセキュリティ製品もありますので、予算に余裕があるならば検討すると良いでしょう。

・各種セキュリティ製品の導入

侵入検知・侵入防止のためIPS/IDSを使う。外部SOCサービスを利用して、セキュリティ監視を行う。など、売上が多いサイトであれば、被害に遭った場合の損害額も大きいので、それなりのコストをかける価値はあります。

・ログの保存状況の確認

フォレンジック調査の際には、ログが重要になります。データベースやWEBサーバのログをバックアップしておくならば、漏洩したクレジットカード情報の範囲をより狭く特定できる可能性があります。一方でログがなければ、漏洩した可能性のある範囲を広く特定せざるを得なくなります。

・脆弱性診断を行う

脆弱性診断も、1年に1度程度では効果が限定的なので、順番を後回しにしていますが、新規オープン時には実施しておきたい項目です。

マニュアルでの脆弱性診断はコストがかかりますので、リリース時に１回、もしくは年に1回程度しか行えないにしても、ツールを使った脆弱性診断は毎月あるいは数カ月ごとに実施し、WAFやセキュリティ製品による、日々の最新の情報で防御と併用するのが理想的です。

また診断で発見した脆弱性については、改修するなどの対応が必要になりますので、対応完了まで時間がかかります。WAFなどは常に最新情報で保護できる点が優れています。もちろん、WAFがあるから脆弱性は放置していてもよいというものではありません。

EC-CUBEそのものの脆弱性は、情報が公開されますので対応可能です。さまざまなプラグインを利用していたり、独自のカスタマイズを多く実施している場合は、診断しなければ脆弱性を発見できない可能性はあります。脆弱性診断実施の方針を検討される際には、独自プログラムが多いかどうかも考慮できるでしょう。

心配事やご相談ごとがありましたら、EC-CUBE工房こと株式会社システムフレンドにご相談ください。お問い合せ窓口はこちらです。