最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆続・クレジットカード情報流出(1):アリコ、アミューズ、チャゲアス公式サイト(2009/08/25) | メイン | ◆マイクロソフト、WindowsのAutoRun機能を制限する更新プログラムを公開(2009/08/27) »

2009/08/27

◆続・クレジットカード情報流出(2):イーサプライ、クレジットマスター他(2009/08/27)

 ■イーサプライ、1年前の顧客情報流出がようやく判明

 山陽トランスポート(岡山県倉敷市)は25日、同社運営する通販サイト「イーサプライ」が1年以上前に中国からの不正アクセスを受け、顧客情報が流出していたことが判明したと発表。システムの再構築に向けて、サイトを一時閉鎖した。
 発表によると、流出が確認されたのは2002年1月~2008年8月の間にクレジットカードで決算した顧客5620名分のID、サイトログインのパスワード、受注番号、名前、メールアドレス、生年月日、年齢、電話番号、クレジットカード番号と有効期限。
 昨年8月、クレジットカード会社からカード情報流出の可能性が指摘され社内調査を実施したが、流出は確認できず、念のためシステムのクレジットカード情報をすべて削除し、てクレジット決済を一時休止。サイトのログインパスワードの暗号化も合わせて行った。その後もカード会社から調査依頼があったが、社内調査では分からず、今月、カード決算再開に向けてセキュリティ専門会社に調査を依頼したところ、昨年の7月10日~12月19日の不正アクセスにより、顧客様情報が流出していたことが判明。調査の中で、不正なコードが埋め込まれていた可能性も指摘されたという。
 なお、同社は楽天市場とYahoo!ショッピングにも出店しているが、不正アクセスを受けた通販サイトとは別のシステムで管理・運営しており、引き続き通常通りの営業を続けるとしている。
・お客様情報の流出のご報告とお詫び(イーサプライ)
http://www.esupply.co.jp/apology.html

■クレジットマスターが通用する甘いカード決済のセキュリティ

 先月7日、国内初とされるクレジットマスター摘発のニュースがマスコミを賑わせた。クレジットマスターは、1993年に登場したクレジットカード番号を自動生成するソフトウェアの名前で、いつの頃からか適当なカード情報で決算を試みる攻撃がこの名で呼ばれるようになった。
 13~16桁のクレジットカード番号はカード会社固有の番号で始まり、末尾に1桁のチェックデイジットが付加されている。チェックデイジットというのは、バーコードなどにも使われている誤入力防止用の番号のこと。直前までの値から算出し、チェックデイジットが同じ値になれば誤入力がないと判定できる仕組みになっている。クレジットマスターは、このルールに従って論理的に実在するカード番号を生成。あとは、実際に試しながら有効な情報を探しあてるという、実社会では攻略不可能な攻撃手法なのだが、それすら成立してしまう余地があるところに、ネットのカード決済の本質的な問題点がある。
 ネットではクレジットカードそのものを所持している必要はなく、第三者でも知りうるようなカード情報だけで決済が通ってしまう。本人確認を求めないところも多いので、そんな脆弱なショップで試行を繰り返せば、適当に生成したカード番号と有効期限が通ってしまう事態が発生する。まともにやると効率が悪すぎるが、ある程度有効な可能性の高いカード番号に絞り、数多くのショップを使って一気に試行すれば、ゴールはそれほど遠くはないのだ。
 このような欠陥に対処するために、カード会社では3Dセキュアと呼ばれるパスワード認証の仕組みを導入。一部の加盟店で対応しているものの、あまり普及していはない。不正使用を試みる攻撃者は、このような仕組みを導入していない防御の甘いところを狙って攻めるので、このような成り済まし防止策は一部で導入してもほとんど意味がない。
 私たち利用者にできる不正利用の防御策は、カード情報を漏らさないことと、心当たりのない決済がないかどうか毎月の明細書を必ずチェックすること。利用者に落ち度がなければ、不正使用の全額が補償されるので、もし身に覚えのない請求があったら、すぐにカード会社に連絡しよう。

★海外事情:史上最大1億3千万件のカード情報窃盗、米国で容疑者が起訴

 海外では、時に想像を絶する数のカード情報流出が発生する。2005年6月には、米国のカード処理会社カードシステムズ・ソリューションズが不正アクセスを受け、約4千万件の処理情報が抜き取られていたことが発覚。国内の利用者約8万人も影響し、約750件・1億1千万円の不正利用があったという(経済産業省)。
 2007年1月には、米小売大手TJXの顧客情報流出が発覚。不正アクセスで抜き取られた情報は、4500万件に上る。今年1月には、この記録をさらに塗り替える不正アクセスが発覚。米カード処理会社ハートランドペイメントシステムズから1億3千万件の情報が流出し、容疑者3人が今月17日に起訴された。容疑者らは、2007年から2008年にかけて、同社のほかコンビニエンスストアののセブン・イレブンやスパーマーケットのハンフォードなど計5社のシステムに不正アクセスし、クレジットカードやデビットカードの情報を盗んでいたという。主犯格の男は、先のTJXの不正アクセスでも起訴されていた。
・Alleged International Hacker Indicted for Massive Attack on U.S. Retail and Banking Networks[英文](United States Attorney's Office)
http://www.usdoj.gov/opa/pr/2009/August/09-crm-810.html

(2009/08/27 ネットセキュリティニュース)

投稿情報: 09:58 |

|