グローバルデータ(エクスコムグローバル)のクレジットカード情報流出はひどい

Pocket

海外WiFiのグローバルデータを運営するエクスコムグローバル株式会社から「不正アクセスによるお客様情報流出に関するお知らせとお詫び」が出ています。SQLインジェクション攻撃により、最大146,701件のクレジットカード情報が流出した、という内容です。

ですが、その流出内容が最悪のパターンのため様々な波紋が怒ってます。

 1.カード名義人名
 2.カード番号
 3.カード有効期限
 4.セキュリティコード
 5.お申込者住所

セキュリティコードも入っている最低最悪のパターンですね…。そもそもセキュリティコードはサーバに保存しちゃいけないものだと思うんですが、うさぎ文学日記さんのサイトが分かりやすかったので引用させて頂きました。しかも情報漏洩の被害を受けてしまったようで…。

この「セキュリティコード」はカードに記載された番号を確認することで、カードの実物を持った所有者であることを確かめるセキュリティ対策なので、オンライン決済をしている加盟店のWebサーバーが保存してはいけません。

JCCA 日本クレジットカード協会が定める「新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン」にも「加盟店にてセキュリティコードを保存することは、禁止する。」という一文があります。

http://www.jcca-office.gr.jp/up/file/%E3%82%AC%E3%82%A4%E3%83%89%E3%83%A9%E3%82%A4%E3%83%B3.pdf

うさぎ文学日記:クレジットカードのセキュリティコードの保存は禁止

 
そういえば、クレジットカード情報の保護についてはPCI DSS(PCIデータセキュリティスタンダード)っていうグローバルセキュリティ基準がありましたよね。確かこの手の本もだいぶ前に買って放置してたな…これを機に読み直しておこう。PCI DSSについては以下を参考にー。

 ●Wiki:PCIデータセキュリティスタンダード(PCI DSS)
 ●NTTデータ先端技術株式会社:PCI DSS徹底解説
 ●@IT:5分で絶対に分かるPCI DSS
 ●ITpro:セキュリティ基準「PCI DSS」

 
んで、さすがにセキュリティコードを含む情報が流出となると実害が出てしまった方もいます。More Access! More Fun!さんの記事を読みますと凄まじい怒りが伝わってきます。そしてロケットニュース24さんも該当者だったようで…。知らされるまでに1ヶ月近く経っているなど対応の悪さも感じられますね。

以下、強く印象に残ってしまった部分を…。

あの、二度と使わないんですがオタクのサービス。だけどこっちはカードの切り替えやら、引き落としの手配をたくさんしなくちゃならない。1円もキャッシュアウトのない自社の割引券を配布で誤魔化すって、あり得ない対応。普通は商品券とかじゃないの?

More Access! More Fun!:イモトのWiFiがやってくれた、初めての自分のカード情報流出体験記。

日本中のネットショップに土下座しろ、エクスコムグローバル!!

マジで怒っております

日本中のネットショップ担当者におきましては、クレジットカードの利用に最新の注意を払い、特に高額で換金しやすいものについて警戒警報を発令するものであります!!!

More Access! More Fun!:【続】イモトのWIFi顧客カード情報流出!! いきなり不正利用キターー!! 日本中のネットショップ要警戒!!!

なお、エクスコムグローバル株式会社は流出した該当者に対し、それぞれ「不正アクセスによるお客様情報流出に関するお知らせとお詫び」と題されたメールを送っている。そこには、
 
・お詫びとして、次回の利用お申し込み時に使える【3000円割引の特別優待券(クーポン)】を6月上旬に、メールアドレス宛に発行する
 
と書いてあるが、個人情報が流出した数名のユーザーたちからは「そんなもんいらねえよ!」との声があがっていたのも事実である。いずれにしても、まずは自分の個人情報が流出しているのか問い合わせたほうがよいだろう。

ロケットニュース24:【速報】イモトのWiFi「エクスコムグローバル」からカード情報など個人情報が10万件以上流出 / 漏れた対象者はどうすればいいか聞いてみた

対応の悪さも伝わってきますが、お詫びがクーポンってひどいですね。わぁ嬉しい!許しちゃう!また使うの楽しみー!なんて思う顧客がはたしてどれだけいるのでしょうか。私は海外に行く機会がないのでこのようなサービス自体あまり知りませんが、機会があってもココは使わないだろうな…。

 
そして、各カード会社からのお知らせ。どのカード会社も不正使用検知システムにて24時間365日の監視体制があり、不正使用を早期に発見できる体制をと整えているとのこと。それでも取引きされる全ての中でコレは100%不正だと言いきれるのは難しいでしょうから、必ず明細書で取引内容を確認し、身に覚えのないものがあったら即カード会社に連絡しましょう。

 
 ●三井住友VISAカード
  「GLOBALDATA」、「Global Cellular」でのクレジットカード情報の流出について

 ●三菱UFJニコス
  「GLOBALDATA」、及び「Global Cellular」におけるお客様情報流出について(PDF)

 ●Orico(オリコ)
  「GLOBALDATA」および「Global Cellular」におけるお客さま情報流出について

 ●アプラス
  「GLOBALDATA」および「Global Cellular」における個人情報流出について

 
最後に、同じく海外WiFiで展開している「グローバルWiFi(運営:株式会社ビジョン)」があるのですが、こちらはクレジットカード情報を一切保存していない、とお知らせが出ていますね。似たようなサービスなのでたくさん問い合わせがあったのかな。こちらは安心して使えそう。

グローバルWiFiでは、サービス開始当初より お客様のカード情報(カード番号・カード名義・有効期限・セキュリティコード)は一切保存しておりません。 その為、誠にお手数ですがお申込みの度にクレジットカード情報のご入力をお願いしております。

株式会社ビジョン グローバルWiFi:クレジットカード情報に関するお問合せについて

 
●参考:SQLインジェクション(Wiki)
●参考:SQLインジェクションの仕組み――Webサイトに悪質コードを埋め込む
●参考:SQLインジェクションについてのスライドを作成した
 

Pocket

Comments are closed.