2025年6月27日(金)、日本カード情報セキュリティ協議会(JCDSC)主催の「カードセキュリティフォーラム2025」が開催されました。
本フォーラムは、PCI DSSへの準拠やキャッシュレスに関するセキュリティの最新動向について、企業・業界関係者が一堂に会する年に一度のイベントです。
当日は多くのカード関連事業者、加盟店、決済サービス事業者の方々が来場され、PCI DSS v4.0.1に関するパネルディスカッションをはじめとした様々な講演や展示が行われました。
当社からはセキュリティコンサルタントの石塚・加川が登壇し、「フィッシング攻撃の事例と対策の解説」というテーマで講演を行いました。
本講演では、近年さらに巧妙化するフィッシング攻撃の動向と、PCI DSS v4.0.1における対策について紹介しました。今回このテーマを選んだ背景には、フィッシングの発生状況や手口の変化があります。
フィッシング対策協議会によるとフィッシング報告件数は年々増加傾向にあり、2024年の下半期では過去最多の100万件を超えました(図1)。これは平均して1日に約5,500件の届け出がある計算となります。また、生成AIを悪用した高精度なフィッシングメールの作成や、音声や動画の合成によるなりすましなどの手口も増え、攻撃手法の巧妙化・高度化が加速しています。
出典:https://www.antiphishing.jp/report/phishing_report_2025.pdf
近年のフィッシングの動向から、PCI DSS v4.0よりフィッシングに対する技術的な対策(要件5.4.1)やフィッシングに騙されないための教育(要件12.6.3.1)が追加され、フィッシングへの対策がより明確に求められるようになりました。
しかし、これらの要件では、グッドプラクティスとして推奨される対策が示されているものの、PCI DSSの準拠を目指す事業体の環境ごとに有効な対策が異なる可能性があるため、実際のリスクなどを評価せずに対策を行うと形式的な対策となってしまうおそれがあります。本要件のベストプラクティス期間中のご相談では、形式的な対策となってしまう事例を目にすることがあり、事業体それぞれが本当に効果のある対策をしていく必要があると感じておりました。
こうした実感をもとに、“形式的な対策”と“本質的な対策”との違いをあらためて対策を実施していただく皆様にも考えていただく機会にしたいと思い、講演では本質的な対策を行うにはどのようにすれば良いか整理し、より良い対策のヒントを提供できればと考えました。
※具体的な講演内容(事例や対策詳細)は、こちらよりダウンロードできます。
今回の講演はより多くの方に関心をもっていただくため、単なる要件解説にとどまらず、診断のプロの観点からみた最新のフィッシング手法解説やリスク評価のプロによる本質を捉えたセキュリティ対策の例示、その活用方法といった内容を含めたいと考えました。
そこで、社内の診断チームが持つ技術的な知見と審査チームのこれまでのPCI DSS準拠支援・審査経験から蓄積されたリスクに対する効果的な対策のノウハウを融合できるよう、多くの関係者と連携し、講演内容の検討を行いました。
当初はお伝えしたい内容が多く、講演時間を超えてしまうほどの講演内容となっていましたが、限られた時間の中でポイントが的確に伝わるよう、内容の取捨選択を重ね、社内での確認や調整も繰り返しながら準備を進めていきました。
講演後には、多くの方にお声がけいただきました。「対策が具体的で非常に参考になった」「社内教育の資料に取り入れたい」といった声をいただき、自分たちの講演が実務に役立つものとして受け取っていただけたことを、とても嬉しく思っています。
いただきました感想の一つひとつが、講演準備を行ってきた自分たちにとって大きな励みとなり、講演をしてよかったと実感する機会となりました。
当日はブースも出展しました。脆弱性をモチーフにしたユービーセキュアのオリジナルキャラクター「ゼイジャッキー」のシールをカプセルトイ形式で配布しており、こちらも大変ご好評をいただきました。多くの方が楽しそうにハンドルを回してくださり、セキュリティというテーマをきっかけに自然と皆様が交流していくことが大変印象的でした。
自身として初めての講演となり当日は大変緊張しましたが、ご参加いただいた皆様からの反応を通じて、リスクに基づいた本質的な対策を行うことの重要性についてしっかりと共有できた手応えを感じました。
発表後には多くの方々とご挨拶や名刺交換をさせていただき、その中で各社の取組みや課題を伺うことで新たな気づきや視点を得ることができ、大変有意義な時間となりました。今回の登壇は私にとって大きな挑戦でしたが、今後も挑戦を継続し皆さまに貢献できるよう努めていきます。
サイバーセキュリティコンサルティング事業本部 サイバーセキュリティコンサルティング一部
石塚 萌さん ※ASV有資格者
加川さんと同じく、初めての対外発表でしたが、ご参加いただいた皆さまの熱心な姿勢に力をいただき、楽しく講演を行うことができました。今回の講演内容はASVスキャンには直接的な関わりはありませんでしたが、セキュリティコンサルタントの視点から見た”攻撃者”について、しっかりとお伝えできたのではないかと考えています。多くの方とご挨拶する機会もあり、大変有意義な時間を過ごすことができました。今回いただいた刺激を糧に、今後もより一層精進してまいりたいと思います。
改めて、“形式的な対策”と“本質的な対策”との間には、セキュリティリスクに対する対策の効果に大きな差があります。PCI DSSの要件に則るだけでなく、リスクの評価を行ったうえで本当に必要な対策を検討することが、これからますます重要になると感じています。
ユービーセキュアでは、QSA・ASVとしてPCI DSS準拠支援コンサルティングや審査、ASVスキャン等をはじめとした多くの実績から得たノウハウを活かし、お客さまの業務内容やシステム規模に応じた最適な対策方法を提案いたします。
今回の講演内容にご関心をお持ちいただいた方や、自社での対応に不安や課題を感じていらっしゃる方は、ぜひお気軽にご相談ください。