1.エクスコムグローバル社の事件
一月ほど前のニュースですが、いろいろな問題が指摘されていた件です。
まだ中間も含めた報告はアップされてないようです。
http://news.mynavi.jp/news/2013/05/27/212/index.html
エクスコムゴローバル社の発表した「流出したお客様情報」が、サラッと書かれているものの、サラッとは済まされない、想像を超えるものだったことから、厳しい指摘が随所でなされていました。
●エクスコムグローバル(2013年5月27日)
不正アクセスによるお客様情報流出に関するお知らせとお詫び
2)流出したお客様情報
お客様情報を保持していたサーバーには、最大146,701件のクレジットカード情報があり、同件数のお客様情報(①カード名義人名、②カード番号、③カード有効期限、④セキュリティコード、⑤お申込者住所)がありました。不正取得により流出しました件数はうち109,112件になり当該情報は、平成23年3月7日~平成25年4月23日にお申し込み頂きました、お客様の情報が対象となります。
(1)報道
これらがどんな情報なのかを「見出し」で示していたのが下記でした。
●Gigazine(2013年05月27日)
「フルセット」という見出しが、問題の大きさ、深刻さを、一言で表現していると言ってもよいでしょう。
その「問題」の内容を手早く把握するには、下記の記事は便利かと思います。
上記の記事にあるように、セキュリティコードを保持していたことについては、驚きました。
(2)セキュリティコードを加盟店が保持すること
セキュリティコードを加盟店が保持することに関し、記事では日本クレジットカード協会のガイドラインが紹介されています。
これは日本クレジット協会と共同で制定されたものです。
●平成22年12月
「新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン」の制定について
2.本人認証の実施
会員会社は、インターネット上でクレジットカード決済を行おうとする事業者と新規加盟店契約を締結する場合には、当該事業者が次の本人認証の両方を実施することを原則とする。
・セキュリティコード
・3Dセキュア等の本人認証(※)
なお、当該事業者が加盟店契約を締結した場合、加盟店にてセキュリティコードを保存することは、禁止する。
たしかに「保存は禁止」となっています。
そもそも、セキュリティコードは、Payment Card Industryデータセキュリティ基準(PCI-DSS)にて、保存してはいけない対象とされています。
このPCI-DSSは、下記のサイトでみることができます。
●
PCI Security Standards Council(日本語サイト)
そこにあったPCI-DSS「要件とセキュリティ評価手順 バージョン 2.0 2010年10月」には、次のように書いてありました。
3.2.2.
カードを提示しない取引を検証するために使用された、カード検証コードまたは値(ペイメントカードの前面または背面に印字されている3桁または4桁の数字)を保存しない。
今回の件は、この観点からも問題がおおいにあったということです。
2.JINSの事件
今年3月、JINSのオンラインショップでカード情報の流出があり、セキュリティコードが流出項目に含まれている可能性があるとされた事件(
3/15付け発表)がありました。
●
中間報告
当社オンラインショップは、サーバ内にお客様のクレジットカード情報を保有しないシステムで運用しておりました。PCF 社の最終調査報告書によりますと、同社による当社サーバのログ解析により、平成 25 年3月6日にバックドアプログラムが設置された痕跡、および第三者のサーバにクレジットカード情報が転送されるようにアプリケーションプログラムの改ざんが行われた痕跡が確認されました。
●
最終報告
PCF社の調査によると、本件不正アクセスの原因は、第三者が当社オンラインショップのシステムに使用されていたミドルウェア(※)「Apache Struts2(以下、「Struts」といいます。)」の脆弱性を利用してシステムに不正に侵入し、ファイルの変更権限を不正に取得したことによるものであること、および当該システムに使用されていたStrutsが、すでに過去に脆弱性が指摘されていた古いバージョンのものであったことによることが報告されております。
このJINSのケースでは、クレジットカード情報はもともと保持しておらず、第三者がプログラムを勝手に設置・改ざんすることで、情報が転送されるようになっていた、ということで、エクスコムグローバル社の一件とは、流出の原因が違っていました。
3.過去における対応
過去において、セキュリティコードを加盟店が保有することについて、カード会社などの対応はどうだったかについては、下記の記事が参考になりました。
●ソフトバンク ビジネス+IT 2009年04月07日
「
PCI DSSから学ぶグローバルセキュリティ標準(6)PCI DSSに関する国内外の最新動向」
次の記載がありました。
VISAが昨年11月13日にPCI DSSの普及プログラムを全世界共通とすることを発表したことである。「PCI DSS遵守の国際的な義務化に向けたタイムライン」と題された発表は、2009年9月30日までにアクワイアラに対して、すべての、レベル1、レベル2加盟店が全磁気ストライプデータ、セキュリティコードまたはPINデータを含むセンシティブなカード関連情報を取引認証後に保管していないことを確認、報告することを求めた上で、すべてのレベル1、レベル2加盟店が保管禁止データを保管していないことの証明書の提出を義務付けるものだ。
紹介されていたVISAのプレスリリース(
「PCI データセキュリティ基準(PCI DSS)遵守に期限を設定」東京, 2008年11月13日)には、次のようなことが書いてありました。
レベル1/2の加盟店向け保管禁止データの廃棄期限
–2009年9月30日
Visaは、アクワイアラに対し、レベル1/2加盟店が全磁気ストライプデータ(別名:トラックデータ)、セキュリティコード又はPINデータを含むセンシティブなカード関連情報を取引認証後に保管していないことを確認、報告する期限を2009年9月30日としています。
「ハッカーが、カード偽造のためにこれらの情報を探しています。Visaが同情報の保管を禁止するのはこのためです。」(マイク・スミス)
期限経過後、Visaは必要なリスク管理施策を実施します。例えば、レベル1/2加盟店が保管禁止データを保管していないことの証明書をアクワイアラがVisaに対し提出しなかった場合、罰金が科されることもあります。
このようにセキュリティコードは、だいぶ前から保持しないことがハッキリしていたのに、なぜかエクスコムグローバル社は保持していたこと、これは単に問題視されるだけでなく、保持していた背景も早く公表しないといけないでしょう。
「フルセット」で流出したとなると、記事にも懸念が示されていましたが、ひも付け、の危険は払拭できません。
4.対象者(可能性のあった者も含む)に対する対応
ところで、この件で、エクスコムグローバル社から、ユーザに対して示されたお詫びの措置の内容についても、厳しい批判がなされています。
●ITジャーナリスト・三上洋 「
グローバルデータの情報流出に、深刻な三つの問題点」
(上記読売オンラインの記事)
もう一点、ユーザーへのおわびにも問題がある。今回の流出のおわびとして、エクスコムグローバル社では「3000円の割引クーポン」をメールで送付した。私見になるが、自社でしか使えないクーポンを出すことが、おわびになるのだろうか? クレジットカードデータを流出させた企業のサービスを、もう一度使おうとするユーザーは少ないだろう。おわびの方法にも問題があると筆者は考えている。
●柳谷智宣 「気になるITトレンドの“裏”を読む」(第5回)-2013.06.19
「
ネットでカード決済はやっぱり危険?情報漏洩事故で露呈…対処法と便利なサービス」
(
Business Journal)
そして、エクスコムグローバルから届いたのは、お詫びとして自社サービスの割引クーポン3000円だった。2014年5月31日までの有効期限が切られており、お釣りも出ないし、繰り越しもできない。最悪クラスの個人情報漏洩事件を起こしたサービスを、また使う人は少ないのではないだろうか。
あまりにもどうかと思ったので、問い合わせしたところ、お詫びはこのクーポンのみ、これで納得していただきたい、という返答。情報流出によるリスクにとどまらず、クレジットカードの交換というとてつもない無駄な手間が発生しているのに、これはない。とはいえ、集団訴訟を起こしても、儲かるのは弁護士ばかり。泣き寝入りするしかないのだろうか。様子を見たい。
最後の「儲かるのは弁護士ばかり」という点は疑問ですが、おわびの方法や内容に対する厳しい批判は、その内容において、至極まっとうだと思います。
ちなみに、JINSの事件では、1000円のQuoカードが送付されました(
JINSの最終報告書)。
これなら、どこでもとはいかないにしても、使える場所や対象が、とても広いですから,
自社サービス専用かつ短期間有効よりは、ずっとよいでしょう。
