< | >

他人事ではない、JINSカード情報流失事件の教訓
  • (2013-03-31 09:25:13)
正直、ターゲットにされたら守りようがないと思えてくるネット犯罪。実際の事件から教訓を学ぶ(2013/03/31 小平探検隊)

カード情報流失事件の概要


「購入画面内の『支払方法選択画面』に入力されたユーザーのクレジットカード情報が、第三者の外部データベースサーバに送信される内容の改ざん」が発生し、1万人以上のクレジットカード情報が流失。

クレジットカード情報とは「カード番号、カード名義、セキュリティコード、有効期限」。

・カード情報流失件数:12,036件
・期間:2013年02月06日-03月14日(47日) (事件発生日の2月6の特定方法は不明)

不正アクセスが発覚したのは3月14日午後11時とのこと。マスコミ発表は3月15日。このタイミングが、株価とどのように連動するかも教訓。

誤解を招かないマスコミ発表が必要


カード情報のうち、1回与信するごとに破棄が義務づけられているセキュリティコードを、JINSが社内保管していたとして、怒りの声を上げている掲示板があった。

JINSは保管していないとしているが、「保管していた」という悪事情報が瞬時に拡散し永久に残る点は非常に厳しい。

どのように発表すれば、ネットユーザーの誤解を誘発せず風評被害を最小限に押さえられるかは広報担当者には身に迫る思いだ。マスコミ発表時には注意を要する。

セキュリティコードはあまり役立たないかも


セキュリティコードは架空カードの不正使用対策として近年ようやく普及した印象があるが、あまり役立たないことが判明した。

ショップサイドのデータベースに記録がないので、万一データベースがクラッキングされても、セキュリティコードは安全という発想だが、支払画面から直接奪取されたらセキュリティコードも意味がない。

支払画面改ざんは想定外だったか?


ニュースを読む限り、今回の攻撃はデータベースがクラッキングされたわけでなく、WebサーバもしくはFtpサーバがクラッキングされたことになる。

Webページの書き換えや改ざんはお決まりのサイバー攻撃であり、実際に事件は多発している。カード番号入力するような非常に注意を要するページにはそれなりの対策が施されるべきという教訓を感じる。

なぜこういう攻撃が事前に想定されていなかったのか、反省すべき点で、今回の事件がケーススタディとなって、カード決済画面の改ざん防止対策が進むように思う。

たとえば、こういうセンシティブなページはソースをオリジナルソースと定期的にコンペアするようなプログラムを流しておくくらいならコストもかからずよいかもしれない。

どこの会社のサーバがクラックされたのか?


被害元のJINSではクレジットカード情報は一切保管しいないとのことなので、どこかの決済サービス会社の画面と推測される。どこの決済代行会社が被害にあったのか気になっている。

普通に考えれば、凄いトランザクションや事情でもない限り、セキュリティ上、決済サーバを自社に設置する企業は多くない。

一般的な企業なら、顧客のカード情報は見ることも保管することもしたくないはず。それよりもカード決済専門のサービス会社に委託したい。

そうするとそういうサードパーティでは一社専用ではなく、いろいろな企業の決済サービスを請け負うので、クラッキングされたのはJINSだけでなく多数の企業で被害が拡大するように思うが、そういう報道はなく、決済サービス会社の名前も出てこない。

私が調べた範囲ではJINSのシステム開発会社さん名は見つかり、その魚拓も保管されていた(ただし、現在は削除されている)。

JINSでは調査結果を4月中に発表するとしているので、何か具体的な情報がでてくることを期待している(※後日談:結果的に、技術的にどういう操作が行われたのかなどの具体的な情報は表に出ることはなかった)。

ところで株価の動き


JINSの株価はこの事件でほとんど影響を受けなかった。カード情報流失は日常化しており人々が慣れているのかもしれない。

もう一つ、JINSサイトを構築したシステム開発会社さんの株価は事件の公表が3月15なのに3月11日くらいからボリュームを伴った激しい値動き。偶然なのか、パワーゲームなのか。






<< 画像共有サイトGallery< | >Amazon セラーセントラル Excel VBAから自動ログイン >>
search
layout
admin

[▲page top]