たいやきブログ

mail to tsuyoshi.ogawa[a]gmail.com if you have some question!

JINSクレカ情報漏えい事件について

http://www.jins-jp.com/info.pdf

2013年3月14日、JINS PCで有名なJINSのサイトがクラックされて、顧客のクレカ情報が漏洩してしまったそうだ。

同社の情報によると、以下の情報が漏洩したようで、いわゆるECサイトでクレカ決済するときに必要な情報が全部漏れているのでただごとではない。

①カード番号、②カード名義人名、③セキュリティコード、④カード有効期限

漏洩されてしまった人はもちろん、同社のサイトを運営されている中の人のことを考えるといたたまれなくなってしまうが、今回の漏洩事件はセキュリティ上、どこが問題だったのだろうか。

ネット界隈では憶測がはびこっているが主に、2つのどちらかが流出の経路として考えられる。

  • DBに漏洩したクレカ情報を保存していて、そのDBに不正アクセスされた
  • クレカ情報を入力するフォームのソースコードを改ざんされて本来、POSTすべきでないサーバにデータをPOSTしていた

以下、@ITの記事を参照する限り、後者が原因らしいがこのJINSが公表しているPDFからはフォームが改ざんされたといったことは一切明記されていないので、独自に取材をして得た情報なのだろうか。
http://www.atmarkit.co.jp/ait/articles/1303/15/news106.html

ソースコードを改ざんして全然無関係なサイトにポストするというのは、技術的にはできそうだが、なぜそれに気づかなかったのかが非常に気になる。ソースを改ざんできたということは、サーバに侵入して直接書き換えるか、そもそもコードをかいてたプログラマが悪意をもってやったことも考えられる。

中国がアメリカにサイバーアタックを仕掛けたりで、すでに戦争はサイバー空間に移行してるようだし、日本もセキュリティ人材を強化してほしいものだ。