そもそも、ECサイトにクレジットカード情報が保存されているケースはほとんどないと思います。ないものは盗みようがないというのが私の感覚です。以下、ECサイトにクレジットカード情報が保存されていないと私が考える理由を説明します。
まず、2018年6月の改正割賦販売法の施行により、ECサイト事業者などクレジットカード取扱事業者は、カード情報の保護を法律で求められるようになりました。その保護の内容を定めているのがクレジットカード・セキュリティガイドライン(旧称実行計画)です。この実行計画では、クレジットカード情報保護の柱を「PCI-DSS準拠あるいはクレジットカード情報の非保持化」と定めていて、2018年3月までにクレジットカード情報の非保持化を実現する目標を立てていました。
単に業界団体が目標を定めるだけであれば、その達成は疑わしいところでありますが、この目標は法律の裏付けがあること、決済代行事業者が非保持化に向けて積極的に動いたことから、非保持化は達成されていると私は見ます。クレジットカード情報を保持できる決済APIはもう提供されていないでしょうし、ECサイト側も敢えてクレジットカード情報を保持する動機もありません。
クレジットカード情報非保持化は、割賦販売法改正前から相当進んでいたはずです。たとえば、SQLインジェクションでクレジットカード情報が漏洩した有名な裁判がありました(下記参照)。
https://blog.tokumaru.org/2015/01/sql.html
blog.tokumaru.org
こちらの事件でも、元々はクレジットカード情報はデータベースに保存しておらず、顧客の要望を受けてカード情報をデータベースに保存したのです。
また、2016年12月にイプサの化粧品通販サイトからカード情報する事件がありましたが、こちらは決済モジュールがデバッグモードになっていたために、ログにカード情報が保存されてしまっていたことが原因の一つでした。すなわち、デバッグモードという「過ち」がなければ、サイトにカード情報は保存されていなかったことになります。
https://xtech.nikkei.com/it/atcl/column/14/346926/020300804/
また、2013年3月のJINSオンラインショップの事件では、以下のように、保存していないカード情報が漏洩した旨を明記されています。
Q: クレジットカードのセキュリティーコードを保管しているのか?
セキュリティコードをはじめクレジットカード情報は、弊社では保管しておりません。
保管していない情報が流出した理由につきましては、オンラインショップの支払方法入力画面に改ざんが加えられ、入力したクレジットカード情報が不正に外部のサーバに送信されるよう改ざんされたためであります。
https://www.jins.com/jp/illegal-access/faq/faq_b.html
すなわち、改正割賦販売法の施行前から、多くのサイトでクレジットカード情報の非保持は実現していたと思われます。だからこそ、JINS事件のように、クレジットカード情報の入力画面から情報を盗む手口が開発されたわけです。その後、この手口はクレジットカード情報盗み出しの手口の主流になります。
2018年3月以降は、非保持に加えて「非通過」も徹底されたものと思いますが、この施策自体はカード情報保護にはあまり寄与しなかったと思います。なぜなら、手口側が既に対策済みだったからです。
では、クレジットカード情報をサイトに保存する機能はどうやって実現しているかというと、決済代行事業者側で機能を提供しています。これにより、クレジットカード情報はECサイトを通過しない状態でも、見かけ上カード情報を保存できるようになっています。
このように、既に10年以上、カード情報入力画面からカード情報を盗む手口が主流であり、ECサイトにはカード情報は保存されていないと推測するに足る客観的な証拠があります。ごくまれな例外ケースはあるかもしれませんが、攻撃側は、そういう稀なケースを探す必要もなく、脆弱性の放置されたECサイトがあれば、既に「枯れた」上記手口を使い回せばよいわけです。