クレジットカードセキュリティの国際基準を管理するPCI SSC(Payment Card Industry Security Standards Council)が主催するPCI SSC Community Meeting(以下、CM)が、北米、欧州、アジア太平洋の3リージョンで開催された。本記事では著者が参加した2025年10月14日(火)~10月16日(木)にて、オランダのアムステルダムで開催された欧州CMのレポートをお届けする。
本イベントは、当社を含む審査機関、加盟店、サービスプロバイダ、セキュリティベンダー等、さまざまな企業が参加し、決済セキュリティに関する最新動向の発信や情報交換を行うことを目的としている。PCI SSCによると世界各地から600名を超える関係者が参加した。(セッションは約50セッション、ベンダーブースは約25ブース出展) また、ベンダーショーケース会場では食事も提供されており、参加者と気軽に交流できる機会が設けられている。PCIのアジア太平洋リージョンVP(Vice President)のYew Kuannさんにもご挨拶させていただいた。
PCI DSS バージョン 4.xのベストプラクティスとなっていた要件6.4.2、8.3.10.1、10.7.2が 2025年3月31日 より必須化された。
|
6.4.1 一般公開されているウェブアプリケーションについては、新たな脅威や脆弱性に継続的に対処し、既知の攻撃から以下のように保護する。 ・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法により、公開用ウェブアプリケーションを以下のようにレビューする。 –少なくとも12カ月に一度、および大幅な変更があった後に実施する。 –アプリケーションのセキュリティを専門とする事業体によるものであること。 –少なくとも、要件6.3.6のすべての一般的なソフトウェア攻撃を含む。 –すべての脆弱性が要件6.2.1に従ってランク付けされている。 –すべての脆弱性が修正される。 –修正後、アプリケーションを再評価する。 または •以下のように、ウェブベースの攻撃を継続的に検出し、防止する自動化された技術的なソリューション(複数可)を設置すること。 –ウェブベースの攻撃を検知・防止するために、一般公開されるウェブアプリケーショ ンの前に設置されていること。 –アクティブに実行され、該当する場合は最新の状態に更新されていること。 –監査ログを生成していること。 –ウェブベースの攻撃をブロックするか、アラートを生成して直ちに調査するように設定されている。 |
|
8.3.10.1 サービスプロバイダのみに対する追加要件:パスワード/パスフレーズを顧客ユーザアクセスの唯一の認証要素として使用する場合(すなわち、1要素認証の実装において)、以下のいずれかを行う。 ・パスワード/パスフレーズが少なくとも90日に1回変更されていること。または ・アカウントのセキュリティ状態を動的に分析し、それに応じてリソースへのリアルタイムアクセスを自動的に決定します。 |
|
10.7.2 重要なセキュリティ対策システムの障害が迅速に検知され、警告され、対処される。(以下の重要なセキュリティ制御システムの障害に限定されない。) ・ネットワークセキュリティ制御 ・IDS/IPS ・変更検出メカニズム ・マルウェア対策ソリューション ・物理アクセス制御 ・論理アクセス制御 ・監査ログメカニズム ・セグメンテーション制御(使用している場合) ・監査ログレビューメカニズム ・自動化されたセキュリティテストツール(使用している場合) |
2025年度に新たに発行された主なガイダンスやFAQとして下記が紹介された。個人的な感想としては、要件対応上、曖昧になりやすい「FIDO2等のフィッシング耐性認証の取り扱い」、「決済ページ上のスクリプト管理の範囲」が具体化され、また「PCI DSSへのAI活用」や「PQC」等の次世代のテーマにSSCとしての見解を示し始めた印象である。
初日に開催された「脆弱性管理とペンテストのベストプラクティス」についてのワークショップに参加した。10名×8チームでそれぞれファシリテーターを立てて、各チームで会話する形式であり、論点については下記のように運営側で用意されていた。
私のチームの会話内容を抜粋すると下記となる。主に「運用の効率化」「要件準拠解釈のブレ」「定点から定常スキャンへの移行」などが話題として挙がった。日本企業でもよく見かける課題であり、ヨーロッパ圏特有の革命的な解決策はない模様だ。
26ベンダー中、9ベンダーが本テーマの見解や対策となる自社ソリューションについて言及しており、欧州CMの中の運用課題の観点で最も注視されているテーマと推察される。本テーマに関してはPCI DSSに限らず審査にとっての永遠の課題とも言えるテーマだが、近年対応が必要なコンプライアンスの増加(特に③テーマのEU法規制も大きく関わる)により、より重要度が増しているテーマとなる。効率化の観点はさまざまだが、欧州CM内では主に4つの効率化のためのアプローチが言及されていた。
欧州CMということで、各セッションで直近、適応開始予定/開始済みという文脈で出てきた、EU法規制も下記に示す。
|
規制名 |
目的 |
適応開始日 |
対象 |
|
DORA (Digital Operational Resilience Act) |
金融機関のICTリスク管理とデジタル運用レジリエンス(回復力)の確保 |
2025年1月17日 |
EUで事業を行う金融機関と、それらの金融機関に重要なICTサービスを提供する第三者ICTサービスプロバイダ |
|
NIS2指令 (Directive on Security of Network and Information Systems 2) |
EU全体のサイバーセキュリティ水準の向上と、重要・必須サービス事業者およびデジタルサービスプロバイダーのリスク管理強化 |
2023年1月16日(加盟国での国内法化期限:2024年10月17日) |
エネルギー、運輸、金融市場インフラ、銀行、医療、デジタルインフラ、公共行政、製造業などの重要事業体(Essential Entities)および重要サービス提供者(Important Entities)。 |
|
Cyber Resilience Act(サイバー レジリエンス法) |
EU市場で販売される「デジタル要素を持つ製品」(ハードウェア、ソフトウェア、およびそれらのコンポーネント)のサイバーセキュリティ確保 |
2027年12月11日(2026年9月11日から脆弱性、インシデント報告義務は部分的に開始) |
ネットワークに直接/間接的に接続され得るソフト・ハード全て |
|
EAA (European Accessibility Act) |
デジタル製品・サービスのアクセシビリティ(障害のある人々が利用しやすいこと)を確保 |
2025年6月28日 |
コンピュータ、スマートフォン、ATM、電子書籍、ECサイト、交通予約サービスなど、消費者向けの幅広い製品・サービス。 |
|
RED委任法令(RED(無線機器指令)のサイバーセキュリティ要件追加版) |
人体の健康と安全、電磁両立性(EMC)、および無線スペクトルの効率的な利用に関する基本的な要件の確保 |
2025年8月1日 |
EU市場で販売される無線機器 |
また、PCI DSS準拠対象システムに対してどの程度DSSの項目を流用できるかの考察を目的として、「①よくあるPCI DSSの準拠対象の場合、規制対象か」、「②各規制のPCI DSS要件と重複するセキュリティカテゴリ」の整理を下記に示す。整理結果より「決済処理をPSPに依拠しているECサイト」側はそもそも本テーマの対象となる法規制は少なく、唯一該当するEAAはPCI DSSと要件が重複しないため、効率化余地は少ないようにみえる。またPSPは多くの規制が該当し、要件範囲も被るため、「②テーマ」でも述べたように上記の通り、他セキュリティフレームワークとの統合によるコンプライアンス評価効率化がより重要視されると推察される。
|
規制 |
① よくあるPCI DSSの準拠対象の場合、規制対象か |
② 各規制のPCI DSS要件と重複するセキュリティカテゴリ |
|
|
自社管理のECサイト(決済処理はPSPに依拠) |
ECサイトに決済処理を提供する決済プロバイダ(PSP) |
||
|
DORA |
❌ 該当しない |
✅ 該当 |
・ITガバナンス(DORAは要件粒度が荒く、暗黙的にNIS2で挙げた要件を含む) ・サードパーティ管理 ・インシデント対応 |
|
NIS2指令 |
❌ 原則該当しない |
―(DORA実施する場合は対応不要[2]) |
・脆弱性管理 ・インシデント対応 ・サプライチェーンセキュリティ ・セキュア開発 ・暗号化 ・資産管理 ・認証/認可制御 |
|
CRA |
❌ 該当しない |
【注1】の通り明確化されていないが下記と推察。
⇒✅ 該当(製品提供のため)
提供形態②:専用決済ページやホスト型決済フォーム ⇒❌ 該当しない (サービス提供のため) |
・データ保護 ・アクセス管理 ・セキュア開発 ・データ保護 ・脆弱性管理 ・監査ログ設計 |
|
EAA |
✅ 該当 |
✅ 該当 |
・なし(EAAは可用性要件のため) |
|
RED委任法令 |
❌ 該当しない |
❌ 該当しない |
・データ保護 ・ネットワークセキュリティ ・セキュア開発 |
本テーマに関してEUROPOL(欧州刑事警察機構)から共有があったため下記に示す。
詐欺がサービス産業化しており、「Crime-as-a-service」(犯罪サービス提供)が登場している。
攻撃にもAI活用が観測されている。
- 詐欺型コールセンターにAI導入の兆候あり。
- 初期接触はAI → 本物の詐欺師が高確度ターゲットに対応。
|
全体の割合 |
詐欺カテゴリ |
詐欺内容 |
|
多い |
Business E-Mail Compromise (BEC) |
ビジネスメール詐称。企業のメールを偽装して金銭を騙し取る手口。 |
|
↑ ↓ |
Romance Scams |
ロマンス詐欺。恋愛感情を利用した詐欺。 |
|
Phishing / Account Takeover |
フィッシングおよびアカウント乗っ取り。ユーザーの認証情報を盗み、不正アクセスを行う。 |
|
|
少ない |
Investment Fraud
|
投資詐欺。虚偽の投資話で資金を騙し取る。 |
|
攻撃手法 |
概要 |
具体的な手法 |
被害例 |
|
リレーアタック(Relay Attack) |
端末が発する無線認証信号をリアルタイムに中継し、遠隔地から正規認証を突破する攻撃 |
■被害者の端末(スマートキー、スマホ等)近くで信号を傍受する装置を設置 ■傍受した信号を無線やネット回線で遠隔の受信側装置に即時中継 ■遠隔の装置が本人の端末がそばにあるように振る舞い認証突破 |
■スマートキーの電波を中継し車両を勝手に解錠・エンジン始動 ■ATMで遠隔地から不正に現金引き出し |
|
NFCリレー攻撃 |
上記リレーアタックのクレジットカードの認証信号を対象としたもの |
■攻撃者がNFC通信信号を被害者の端末近くで近接装置により傍受し、中継装置で別の端末に遠隔転送
■通常は通信距離10cmに制限されるが、攻撃者が中継装置を使い数十メートル~数kmに拡張
■その結果、攻撃者は被害者の認証通信をリアルタイムにリレーし、遠隔地で不正決済や不正アクセスを実行可能 |
■NFC決済がカードやスマホ未所持のまま不正利用される |
|
シミング(Shimming) |
磁気ストライプカードに対する従来のスキミング技術の進化版 |
■従来のスキミングのようにカードリーダーの外側やATMの挿入口に装置を付けるわけではなく、カードリーダーの内部に盗聴用の非常に薄い装置(シム)を仕込む点が特徴 |
■ATM設置のカードリーダーで磁気情報を盗まれ偽造カード作成に悪用 |
|
文字偽装(Homoglyph攻撃) |
見た目が似通った異言語文字を使いメールやURLを正規に偽装 |
■ラテン文字の「a」とキリル文字の類似文字などUnicodeの異なる文字を混用 ■メールアドレスやURLなどで正規ドメインに極めて似た表記を作成 ■受信者が識別困難な状態で送金指示やアカウント乗っ取りを巧妙に行う |
■企業の経理担当者が偽装アドレスに騙され送金先を変更される ■BEC詐欺(ビジネスメール詐欺) |
「Crime-as-a-service」の事例として、2年前にはIspoof.ccというサイトが犯罪者向けに開発したサービスとして発足していた(既に摘発済み)。ログインし仮想通貨で支払えば、任意の番号になりすまし・銀行連携・フィッシングサイト立ち上げなどが可能となる。
59,000人の詐欺師によって使用された。
1億ドル(約100億円)以上の損失が発生している。
実際に欧州では「全財産を失う」被害が多発している。
本テーマについてもセキュリティ業界トレンドということで、欧州CMでも触れられていた内容を下記にまとめる。結論、量子コンピュータがもたらす課題まわりの一般論のみで、PCI関連へのセキュリティフレームワークへの影響等の具体論はなかった。
本テーマについては当社ブログで詳細にまとめているため、こちらも興味があれば一読いただきたい。
耐量子計算機暗号(PQC)とは?|標準化が進む次世代暗号と各国の対応状況を解説
PQC移行の鍵「クリプトアジリティ」とは?|変化の時代を生き抜くセキュリティ設計
アムステルダムの決済事情について触れておく。ペイメントブランドについてはVisa、Mastercardが主流。(著者の利用範囲ではJCB、American Expressは利用不可)。そしてなんといっても全ての支払い(下記を例に挙げるような交通機関(電車、地下鉄、路面電車(トラム)、自販機、ホテル、飲食店、コンビニ等))においてEMV Contactlessが利用できた。もはやEUの主要都市への渡航において現地通貨の両替は不要で、かつモバイルウォレットにより物理的なクレジットカードの携帯さえ不要の時代となっている。
2025年の欧州CMでは「クライアントサイド側の脅威と対策課題」や「EU法規制の増加を背景としたセキュリティフレームワーク評価の運用コストの課題」に大きく焦点が充てられていたと総括する。
NRIセキュアではPCI SSCの定める各種PCI基準の審査の実施や、上記に挙がった技術課題のアドバイザリ、セキュリティフレームワーク管理ツールの提供など、様々なサービスを提供している。
決済セキュリティに関する不安や課題を感じていらっしゃる場合は、ぜひご相談いただきたい。
[i] PCI SSC 2025 Europe Community MeetingのSGS Brightsight社のセクションより引用
[ii] 「DIRECTIVE (EU) 2022/2555 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 December 2022」の28項より判断