クレジットカードセキュリティの国際基準を管理するPCI SSC(Payment Card Industry Security Standards Council)が主催するPCI SSC Community Meeting(以下、CM)が、北米、欧州、アジア太平洋の3リージョンで開催された。本記事では著者が参加した2025年10月14日(火)~10月16日(木)にて、オランダのアムステルダムで開催された欧州CMのレポートをお届けする。
PCI SSC Community Meetingの概要
本イベントは、当社を含む審査機関、加盟店、サービスプロバイダ、セキュリティベンダー等、さまざまな企業が参加し、決済セキュリティに関する最新動向の発信や情報交換を行うことを目的としている。PCI SSCによると世界各地から600名を超える関係者が参加した。(セッションは約50セッション、ベンダーブースは約25ブース出展) また、ベンダーショーケース会場では食事も提供されており、参加者と気軽に交流できる機会が設けられている。PCIのアジア太平洋リージョンVP(Vice President)のYew Kuannさんにもご挨拶させていただいた。
<左:会場(Amsterdam RAI)、中央:Keynote speechの様子、右:ベンダーショーケース会場(with Yew Kuannさん)>
PCI DSSの2025年度の主だったUpdate
①一部の要件がベストプラクティスから必須へ
PCI DSS バージョン 4.xのベストプラクティスとなっていた要件6.4.2、8.3.10.1、10.7.2が 2025年3月31日 より必須化された。
<表: PCI DSS バージョン 4.0.1の要件6.4.2、8.3.10.1、10.7.2>
|
6.4.1 一般公開されているウェブアプリケーションについては、新たな脅威や脆弱性に継続的に対処し、既知の攻撃から以下のように保護する。 ・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法により、公開用ウェブアプリケーションを以下のようにレビューする。 –少なくとも12カ月に一度、および大幅な変更があった後に実施する。 –アプリケーションのセキュリティを専門とする事業体によるものであること。 –少なくとも、要件6.3.6のすべての一般的なソフトウェア攻撃を含む。 –すべての脆弱性が要件6.2.1に従ってランク付けされている。 –すべての脆弱性が修正される。 –修正後、アプリケーションを再評価する。 または •以下のように、ウェブベースの攻撃を継続的に検出し、防止する自動化された技術的なソリューション(複数可)を設置すること。 –ウェブベースの攻撃を検知・防止するために、一般公開されるウェブアプリケーショ ンの前に設置されていること。 –アクティブに実行され、該当する場合は最新の状態に更新されていること。 –監査ログを生成していること。 –ウェブベースの攻撃をブロックするか、アラートを生成して直ちに調査するように設定されている。 |
|
8.3.10.1 サービスプロバイダのみに対する追加要件:パスワード/パスフレーズを顧客ユーザアクセスの唯一の認証要素として使用する場合(すなわち、1要素認証の実装において)、以下のいずれかを行う。 ・パスワード/パスフレーズが少なくとも90日に1回変更されていること。または ・アカウントのセキュリティ状態を動的に分析し、それに応じてリソースへのリアルタイムアクセスを自動的に決定します。 |
|
10.7.2 重要なセキュリティ対策システムの障害が迅速に検知され、警告され、対処される。(以下の重要なセキュリティ制御システムの障害に限定されない。) ・ネットワークセキュリティ制御 ・IDS/IPS ・変更検出メカニズム ・マルウェア対策ソリューション ・物理アクセス制御 ・論理アクセス制御 ・監査ログメカニズム ・セグメンテーション制御(使用している場合) ・監査ログレビューメカニズム ・自動化されたセキュリティテストツール(使用している場合) |
②ガイダンスやFAQの更新による要件内容の具体化
2025年度に新たに発行された主なガイダンスやFAQとして下記が紹介された。個人的な感想としては、要件対応上、曖昧になりやすい「FIDO2等のフィッシング耐性認証の取り扱い」、「決済ページ上のスクリプト管理の範囲」が具体化され、また「PCI DSSへのAI活用」や「PQC」等の次世代のテーマにSSCとしての見解を示し始めた印象である。
<2025年度に新たに発行された主なガイダンスやFAQ>
- 「認証ガイダンス(Authentication Guidance)」(2017年に発行された MFA(多要素認証)ガイダンスの改訂版)(25年8月)
https://docs-prv.pcisecuritystandards.org/Guidance%20Document/Authentication/Authentication-Guidance-JA.pdf- (関連)FAQ 1595:FIDO2要件に従って実装され、デバイス間で同期されたパスキーは、PCI DSS要件4.2を満たすフィッシング耐性認証として使用できる
https://www.pcisecuritystandards.org/faq/articles/Frequently_Asked_Question/are-passkeys-synced-across-devices-implemented-according-to-the-fido2-requirements-acceptable-for-use-as-phishing-resistant-authentication-to-meet-pci-dss-requirement-8-4-2/ - (関連)FAQ 1596:PCI DSS要件4.1および8.4.3の多要素認証として、フィッシング耐性認証のみを使用できない(追加の認証要素が必要。)
https://www.pcisecuritystandards.org/faq/articles/Frequently_Asked_Question/is-phishing-resistant-authentication-alone-acceptable-as-multi-factor-authentication-for-pci-dss-requirements-8-4-1-and-8-4-3/
- (関連)FAQ 1595:FIDO2要件に従って実装され、デバイス間で同期されたパスキーは、PCI DSS要件4.2を満たすフィッシング耐性認証として使用できる
- 「PCI 暗号化ガイダンス(Cryptography Guidance)」(25年8月)
https://docs-prv.pcisecuritystandards.org/Guidance%20Document/Cryptography/PCI-Cryptography-Guidance-v1_0-JA.pdf - 「AI(人工知能)の PCI 評価への統合(Integrating AI into PCI Assessments)」(25年5月)
https://docs-prv.pcisecuritystandards.org/Programs%20and%20Certification/Supporting%20Document/Integrating_Artificial_Intelligence_in_PCI_Assessments_Guidelines-JA.pdf - 「脆弱性管理ワンペーパー(Vulnerability Management One-Pager)」(25年5月)
https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Supporting%20Document/Vulnerability_Management_Infographic-JA.pdf - 「要件4.3 および 11.6.1 (決済ページ上のスクリプト管理)に関するガイダンス」(25年4月)
https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Supporting%20Document/Guidance-for-PCI-DSS-Requirements-6_4_3-and-11_6_1-r1-JA.pdf
(関連) FAQ 1588:eコマース加盟店は、スクリプトに関するSAQ Aの適格基準をどのように満たすのか?https://www.pcisecuritystandards.org/faq/articles/Frequently_Asked_Question/how-does-an-e-commerce-merchant-meet-the-saq-a-eligibility-criteria-for-scripts/ - (関連)FAQ 1596:PCI DSS要件4.1および8.4.3の多要素認証として、フィッシング耐性認証のみを使用できない(追加の認証要素が必要。)
https://www.pcisecuritystandards.org/faq/articles/Frequently_Asked_Question/is-phishing-resistant-authentication-alone-acceptable-as-multi-factor-authentication-for-pci-dss-requirements-8-4-1-and-8-4-3/
ワークショップの概要
初日に開催された「脆弱性管理とペンテストのベストプラクティス」についてのワークショップに参加した。10名×8チームでそれぞれファシリテーターを立てて、各チームで会話する形式であり、論点については下記のように運営側で用意されていた。
私のチームの会話内容を抜粋すると下記となる。主に「運用の効率化」「要件準拠解釈のブレ」「定点から定常スキャンへの移行」などが話題として挙がった。日本企業でもよく見かける課題であり、ヨーロッパ圏特有の革命的な解決策はない模様だ。
<ワークショップで挙がった課題と将来像>
各セッション注目テーマ
①クライアントサイドの脅威と対策のトレンド
- 関連していたベンダー:[C/side][Source Defense][SecurityMetrics][feroot][jscrambler][ReFlecTiz]
- 決済情報のアタックサーフェスがEMVチップ付きクレジットカードの普及により物理からECサイトに移行している。
- この流れを受け、決済ページ上のスクリプトが攻撃の起点のトレンドとなっている。
- しかしながら、自社での技術的対策(CSP/SRIや専用の防御用スクリプト)の実装・運用ハードルが高い。
- したがって(取り扱いスクリプトが多い場合)、自社での実装ではなく、スクリプト管理を専用ベンダーにアウトソースする運用が定常化していく。
②PCI DSS審査対応の苦悩、効率化に向けて
- 関連していたベンダー:[ComplyB4][ControlCase][GROUND LABS][Integrity360][smartcomply][TENENDO][TOTAL COMPLIANCE TRACKING][VIKINGCLOUD][ZERORISK]
26ベンダー中、9ベンダーが本テーマの見解や対策となる自社ソリューションについて言及しており、欧州CMの中の運用課題の観点で最も注視されているテーマと推察される。本テーマに関してはPCI DSSに限らず審査にとっての永遠の課題とも言えるテーマだが、近年対応が必要なコンプライアンスの増加(特に③テーマのEU法規制も大きく関わる)により、より重要度が増しているテーマとなる。効率化の観点はさまざまだが、欧州CM内では主に4つの効率化のためのアプローチが言及されていた。
- 現行の管理の効率化(証跡管理や担当者管理)
- AI組み込みにより証跡収集や準拠判断の高度な自動化
- 他セキュリティフレームワークとの統合による効率化
- 審査対応に対する人の意識改革
③EU規制のトレンド
欧州CMということで、各セッションで直近、適応開始予定/開始済みという文脈で出てきた、EU法規制も下記に示す。
|
規制名 |
目的 |
適応開始日 |
対象 |
|
DORA (Digital Operational Resilience Act) |
金融機関のICTリスク管理とデジタル運用レジリエンス(回復力)の確保 |
2025年1月17日 |
EUで事業を行う金融機関と、それらの金融機関に重要なICTサービスを提供する第三者ICTサービスプロバイダ |
|
NIS2指令 (Directive on Security of Network and Information Systems 2) |
EU全体のサイバーセキュリティ水準の向上と、重要・必須サービス事業者およびデジタルサービスプロバイダーのリスク管理強化 |
2023年1月16日(加盟国での国内法化期限:2024年10月17日) |
エネルギー、運輸、金融市場インフラ、銀行、医療、デジタルインフラ、公共行政、製造業などの重要事業体(Essential Entities)および重要サービス提供者(Important Entities)。 |
|
Cyber Resilience Act(サイバー レジリエンス法) |
EU市場で販売される「デジタル要素を持つ製品」(ハードウェア、ソフトウェア、およびそれらのコンポーネント)のサイバーセキュリティ確保 |
2027年12月11日(2026年9月11日から脆弱性、インシデント報告義務は部分的に開始) |
ネットワークに直接/間接的に接続され得るソフト・ハード全て |
|
EAA (European Accessibility Act) |
デジタル製品・サービスのアクセシビリティ(障害のある人々が利用しやすいこと)を確保 |
2025年6月28日 |
コンピュータ、スマートフォン、ATM、電子書籍、ECサイト、交通予約サービスなど、消費者向けの幅広い製品・サービス。 |
|
RED委任法令(RED(無線機器指令)のサイバーセキュリティ要件追加版) |
人体の健康と安全、電磁両立性(EMC)、および無線スペクトルの効率的な利用に関する基本的な要件の確保 |
2025年8月1日 |
EU市場で販売される無線機器 |
また、PCI DSS準拠対象システムに対してどの程度DSSの項目を流用できるかの考察を目的として、「①よくあるPCI DSSの準拠対象の場合、規制対象か」、「②各規制のPCI DSS要件と重複するセキュリティカテゴリ」の整理を下記に示す。整理結果より「決済処理をPSPに依拠しているECサイト」側はそもそも本テーマの対象となる法規制は少なく、唯一該当するEAAはPCI DSSと要件が重複しないため、効率化余地は少ないようにみえる。またPSPは多くの規制が該当し、要件範囲も被るため、「②テーマ」でも述べたように上記の通り、他セキュリティフレームワークとの統合によるコンプライアンス評価効率化がより重要視されると推察される。
<EU規制対応におけるPCI DSS準拠対象のコンプライアンス流用性の考察>
|
規制 |
① よくあるPCI DSSの準拠対象の場合、規制対象か |
② 各規制のPCI DSS要件と重複するセキュリティカテゴリ |
|
|
自社管理のECサイト(決済処理はPSPに依拠) |
ECサイトに決済処理を提供する決済プロバイダ(PSP) |
||
|
DORA |
❌ 該当しない |
✅ 該当 |
・ITガバナンス(DORAは要件粒度が荒く、暗黙的にNIS2で挙げた要件を含む) ・サードパーティ管理 ・インシデント対応 |
|
NIS2指令 |
❌ 原則該当しない |
―(DORA実施する場合は対応不要[2]) |
・脆弱性管理 ・インシデント対応 ・サプライチェーンセキュリティ ・セキュア開発 ・暗号化 ・資産管理 ・認証/認可制御 |
|
CRA |
❌ 該当しない |
【注1】の通り明確化されていないが下記と推察。
⇒✅ 該当(製品提供のため)
提供形態②:専用決済ページやホスト型決済フォーム ⇒❌ 該当しない (サービス提供のため) |
・データ保護 ・アクセス管理 ・セキュア開発 ・データ保護 ・脆弱性管理 ・監査ログ設計 |
|
EAA |
✅ 該当 |
✅ 該当 |
・なし(EAAは可用性要件のため) |
|
RED委任法令 |
❌ 該当しない |
❌ 該当しない |
・データ保護 ・ネットワークセキュリティ ・セキュア開発 |
④EUの金融犯罪トレンド
本テーマに関してEUROPOL(欧州刑事警察機構)から共有があったため下記に示す。
攻撃される側のトレンド
- かつては企業・銀行・商人への攻撃が主流だったが、個人が直接狙われる時代へ移行する。
攻撃する側のトレンド
-
詐欺がサービス産業化しており、「Crime-as-a-service」(犯罪サービス提供)が登場している。
-
攻撃にもAI活用が観測されている。
- 詐欺型コールセンターにAI導入の兆候あり。- 初期接触はAI → 本物の詐欺師が高確度ターゲットに対応。
<詐欺カテゴリのトレンド>
|
全体の割合 |
詐欺カテゴリ |
詐欺内容 |
|
多い |
Business E-Mail Compromise (BEC) |
ビジネスメール詐称。企業のメールを偽装して金銭を騙し取る手口。 |
|
↑ ↓ |
Romance Scams |
ロマンス詐欺。恋愛感情を利用した詐欺。 |
|
Phishing / Account Takeover |
フィッシングおよびアカウント乗っ取り。ユーザーの認証情報を盗み、不正アクセスを行う。 |
|
|
少ない |
Investment Fraud
|
投資詐欺。虚偽の投資話で資金を騙し取る。 |
<攻撃手法のトレンド>
|
攻撃手法 |
概要 |
具体的な手法 |
被害例 |
|
リレーアタック(Relay Attack) |
端末が発する無線認証信号をリアルタイムに中継し、遠隔地から正規認証を突破する攻撃 |
■被害者の端末(スマートキー、スマホ等)近くで信号を傍受する装置を設置 ■傍受した信号を無線やネット回線で遠隔の受信側装置に即時中継 ■遠隔の装置が本人の端末がそばにあるように振る舞い認証突破 |
■スマートキーの電波を中継し車両を勝手に解錠・エンジン始動 ■ATMで遠隔地から不正に現金引き出し |
|
NFCリレー攻撃 |
上記リレーアタックのクレジットカードの認証信号を対象としたもの |
■攻撃者がNFC通信信号を被害者の端末近くで近接装置により傍受し、中継装置で別の端末に遠隔転送
■通常は通信距離10cmに制限されるが、攻撃者が中継装置を使い数十メートル~数kmに拡張
■その結果、攻撃者は被害者の認証通信をリアルタイムにリレーし、遠隔地で不正決済や不正アクセスを実行可能 |
■NFC決済がカードやスマホ未所持のまま不正利用される |
|
シミング(Shimming) |
磁気ストライプカードに対する従来のスキミング技術の進化版 |
■従来のスキミングのようにカードリーダーの外側やATMの挿入口に装置を付けるわけではなく、カードリーダーの内部に盗聴用の非常に薄い装置(シム)を仕込む点が特徴 |
■ATM設置のカードリーダーで磁気情報を盗まれ偽造カード作成に悪用 |
|
文字偽装(Homoglyph攻撃) |
見た目が似通った異言語文字を使いメールやURLを正規に偽装 |
■ラテン文字の「a」とキリル文字の類似文字などUnicodeの異なる文字を混用 ■メールアドレスやURLなどで正規ドメインに極めて似た表記を作成 ■受信者が識別困難な状態で送金指示やアカウント乗っ取りを巧妙に行う |
■企業の経理担当者が偽装アドレスに騙され送金先を変更される ■BEC詐欺(ビジネスメール詐欺) |
上記トレンドを総合した昨今の被害事例・規模
-
「Crime-as-a-service」の事例として、2年前にはIspoof.ccというサイトが犯罪者向けに開発したサービスとして発足していた(既に摘発済み)。ログインし仮想通貨で支払えば、任意の番号になりすまし・銀行連携・フィッシングサイト立ち上げなどが可能となる。
-
59,000人の詐欺師によって使用された。
-
1億ドル(約100億円)以上の損失が発生している。
-
実際に欧州では「全財産を失う」被害が多発している。
⑤耐量子計算機暗号(PQC)について
本テーマについてもセキュリティ業界トレンドということで、欧州CMでも触れられていた内容を下記にまとめる。結論、量子コンピュータがもたらす課題まわりの一般論のみで、PCI関連へのセキュリティフレームワークへの影響等の具体論はなかった。
- 量子コンピュータの登場による現行の暗号化技術(特に公開鍵暗号)の危殆化の課題
- 対策となるPQCの標準化はNISTを中心に推進中。(ML-KEM(Kyber)、ML-DSA(Dilithium)、SLH-DSA(SPHINCS+)等)
- 企業側で準備できることとしては、下記となる。
- クリプトインベントリ(暗号化技術が使用されている箇所の棚卸台帳)の作成
- 「クリプトインベントリ」×「守るべき資産」で暗号化技術の危殆化による脅威発生が見込まれる箇所の棚卸
- 脅威が見込まれる箇所のクリプトアジリティ(暗号アルゴリズムの切り替えの容易性)を考慮した設計
- 実際の脅威発生・量子攻撃の懸念時期は10〜15年以内との見方が主流だが、誰も予想がつかない。脅威発生時期の不明瞭さと準備の対応期間を踏まえて早く着手することが望ましい。
本テーマについては当社ブログで詳細にまとめているため、こちらも興味があれば一読いただきたい。
耐量子計算機暗号(PQC)とは?|標準化が進む次世代暗号と各国の対応状況を解説
PQC移行の鍵「クリプトアジリティ」とは?|変化の時代を生き抜くセキュリティ設計
(おまけ)アムステルダムの決済事情
アムステルダムの決済事情について触れておく。ペイメントブランドについてはVisa、Mastercardが主流。(著者の利用範囲ではJCB、American Expressは利用不可)。そしてなんといっても全ての支払い(下記を例に挙げるような交通機関(電車、地下鉄、路面電車(トラム)、自販機、ホテル、飲食店、コンビニ等))においてEMV Contactlessが利用できた。もはやEUの主要都市への渡航において現地通貨の両替は不要で、かつモバイルウォレットにより物理的なクレジットカードの携帯さえ不要の時代となっている。
<タッチ決済利用シーン(左から地下鉄、自販機、ホテル、飲食店)>
おわりに
2025年の欧州CMでは「クライアントサイド側の脅威と対策課題」や「EU法規制の増加を背景としたセキュリティフレームワーク評価の運用コストの課題」に大きく焦点が充てられていたと総括する。
NRIセキュアではPCI SSCの定める各種PCI基準の審査の実施や、上記に挙がった技術課題のアドバイザリ、セキュリティフレームワーク管理ツールの提供など、様々なサービスを提供している。
決済セキュリティに関する不安や課題を感じていらっしゃる場合は、ぜひご相談いただきたい。
[i] PCI SSC 2025 Europe Community MeetingのSGS Brightsight社のセクションより引用
[ii] 「DIRECTIVE (EU) 2022/2555 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 December 2022」の28項より判断
