カード会社によるDMARC設定は59.2%に上昇するも 最も厳しい設定ポリシー「reject(拒否)」はわずか19.6%|キャッシュレスセキュリティレポート2024年1-3月版より | PCI DSS Ready Cloud

カード会社によるDMARC設定は59.2%に上昇するも 最も厳しい設定ポリシー「reject(拒否)」はわずか19.6%|キャッシュレスセキュリティレポート2024年1-3月版より

  • このエントリーをはてなブックマークに追加
株式会社リンクとかっこ株式会社は、クレジットカード情報流出事件に関する統計とECに関する不正利用傾向に関するレポート「キャッシュレスセキュリティレポート(2024年1-3月版)」を公開いたしました。

「キャッシュレスセキュリティレポート(2024年1月-3月版)」 ダウンロードはこちらから

キャッシュレスセキュリティレポート概要

カード情報流出事件の概況

(1)カード情報流出事件数・情報流出件数の推移
(2)業種/商材別・情報流出期間別の事件数・流出件数
(3)カード情報流出事件のトピック:旧サイトからの情報流出に注意
(4)カード情報保護 国内政策の動向
*2025年4月から全てのEC加盟店を対象に実施する『セキュリティ・チェックリスト』をとりまとめ

ECにおける不正利用の概況

(1)クレジットカード不正利用被害額の推移
(2)ECサイト不正利用の傾向
(3)国内のカード発行会社(イシュア)におけるDMARC設定状況
(4)不正利用のトピック 生成AI活用による手口の巧妙化
(5)不正利用対策 国内政策の動向
①MO・TO加盟店の不正利用対策を取りまとめ
②クレジットカード不正利用防止における警察庁とECサイト間の連携


DMARC設定状況 調査のハイライト

フィッシング攻撃によって窃取されたカード情報の不正利用が増加していることを受け、2023年3月に経済産業省・警察庁・総務省が連名で、カード会社に対して、DMARC導入をはじめとしたメールによるなりすまし対策を要請しました。

カード会社は割賦販売法で「登録包括信用購入あっせん事業者」として登録が義務付けられており、その一覧が経済産業省のWebサイトで公開されています。リンクは、経済産業省のWebサイトで公開されているイシュア246社を対象に、DMARCの導入状況を調べました。

2024年3月末時点で、イシュアがメール送信に利用しているドメイン395件のうち、有効なDMARCレコードが設定されているのは234件(59.2%)と、2023年8月の調査開始以来、初めて5割を超えました。経済産業省、警察庁および総務省からの要請に基づきDMARC導入を進めてきた企業によって、導入率が上昇したものと思われます。

一方で、フィッシングメール対策としてのDMARCの実効性を持たせるためには、ポリシーを「reject(拒否)」もしくは「quarantine(検疫)」に設定して運用することが求められていますが、最も厳しい「reject」ポリシーが設定されているドメインは46件(19.6%)で、160件(68.4%)はポリシーを「none(何もしない)」にして運用している状況です。

キャッシュレスセキュリティレポート内には、DMARC導入に関するより詳しい調査結果や直近のカード情報流出事件のトレンド、不正利用のトレンドに関する解説を掲載しています。


キャッシュレスセキュリティレポート 対象ユーザ

・カード情報漏えいやクレジットカード不正などのECにおける不正利用の実態を知りたい。
・自社の不正被害が、他社と比較して多いのかどうかを知りたい。
・最新の不正手口を知りたい。


本レポートに関するお問い合わせ

セキュリティプラットフォーム事業部 担当:滝村・加藤・相原

【免責事項】 本レポートの作成にあたり、かっこ株式会社と株式会社リンクは、可能な限り情報の正確性を心がけていますが、確実な情報提供を保証するものではありません。本レポートの掲載内容をもとに生じた損害に対して、かっこ株式会社と株式会社リンクは一切の責任を負いません。

【データの利用について】本レポート内の数表やグラフ、および記載されているデータ等を使用される際は、出典として「かっこ株式会社・株式会社リンク『キャッシュレスセキュリティレポート(2024年1-3月版 ) 』を明記下さい。

「キャッシュレスセキュリティレポート(2024年1月-3月版)」 ダウンロードはこちらから





この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加