メガネで有名なJINSのECサイトで、不正アクセスが発覚したそうです。
商品をクレジットで購入したユーザーのカード情報が流出したとのこと。
入力フォームに改ざん、外部に情報送信の可能性:JINSに不正アクセス、約1万2000件のクレジットカード情報流出の可能性 – @IT
http://www.atmarkit.co.jp/ait/articles/1303/15/news106.html
対象項目・・・クレジットカード情報(
1カード番号、
2カード名義人名、
3セキュリティコード、
4カード有効期限)
http://www.jins-jp.com/info.pdf
リリースによると対象項目にセキュリティコードの文字が。
これは本当ならどえらい話です!
セキュリティコードとは?
セキュリティコードとはカードの裏にある3桁の数字です。
ECサイトでカードを使う時に「めんどくせーなー」といいながら入力する、あの数字です。
実はこの「めんどくせーなー」がカードのセキュリティを高めているのです。
店舗でカードを使うときには端末をピッと通すことと、署名もしくは暗証番号で決済ができます。
端末にカードを通すことで決済ができるのは、カードがカード番号を磁気情報として持っているからです。
端末は、この磁気情報から番号を読みとっているのですね。
だから、店舗だとカード番号を入力しなくて済むのです。
では、このカード裏にある「セキュリティコード」ですが、これはカードは磁気情報として持っていません。ただ印字されているだけなのです。
カードはセキュリティコードを磁気情報としても持っていないし、表のカード番号のように「ボコッ」ともしていません。
番号が「ボコッ」ともなっていないので、例えば粘土のようなモノに押し付けても番号をコピーすることができません。
つまりセキュリティコードはカード会社とカードの所持者しか知ることができない情報なのです。
だから、あえてアナログなのです。
ECサイトとカード会社の情報やり取りのフロー
では、ECサイトの時はどうでしょう。
「セキュリティコードをフォームで入力するから、知られてしまうじゃない」と思うかもしれません。
しかし、カード会社は照会が終わった時点でセキュリティコード情報を廃棄することをECサイトに義務づけられています。
ですので、本来は↓のような流れになります。
このようにセキュリティコードは途中で破棄されるのですね。
この流れによりクレジットカード情報が万が一、漏洩した際にも被害が大きくないようにしているのです。
今回のJINSの問題点
インターネットは万能じゃありません。どんなに努力しても漏洩の危険性はあります。
僕の感覚ではECサイトだって本当は顧客のカード情報は持ちたくないのです。
顧客のメールアドレスなどはビジネス上、持っておく必要がありますが、直接金銭がかかわるカード情報は、本当はpaypalのような所に責任は預けてしまうのが理想です。
しかし、セキュリティコードを自社のサーバーに保存していたとすればありえないくらいです。
という訳で、今回の事件で疑問なのは下記の3点です。
・本当にでセキュリティコードをサーバーに保存してたの?
・そもそもカード会社との契約違反では?
・「セキュリティコード」を保存したいと意識的に言った人がJINSにいるはず。
とりあえず、セキュリティコードを保存していたかが気になります。
どうなるか分からないけど、疑いの目は消えないなぁ…。
・専門分野ではないので間違っている点があれば教えてくださいませ。こういう内容の記事をアップする時は緊張します。被害が大きくならなければ良いけど。
・合わせてどうぞ→ そのサイトに会員登録して大丈夫? セキュリティの基礎知識。
■JINS:http://www.jins-jp.com/
追記1
入力フォーム自体が改ざんされて、ユーザーが入力した情報が外部に送信されてたようです。
ということは、JINSはセキュリティコードを保存していた訳ではないのかもしれませんね。
だとすると、この記事の途中の図とはJINSの件は違うことになりますね。
でも、セキュリティコードが漏れてる時点でとんでもないことですけど。
コメント