2013年3月18日月曜日

JINSのクレジットカード情報流出で思うこと

JINS PC
JINS PC / tetsukun0105


このブログでも何度も紹介している、PCメガネ二強のうちの一つJINSだが、「不正アクセスでクレジットカード等の情報を抜かれた」というニュースがこの週末に流れた。
詳しいことが分かってきたので、この記事でも触れておきたい。

「JINS」通販サイトに不正アクセス カード情報1万2000件流出の恐れ - ITmedia ニュース

まず、このニュースが流れたのは先週末15日のことだった。
その時点では、「不正アクセスでクレジットカード情報が1万2千件流出か」という程度のことしか分からなかったが、17日になって「実際に不正利用が7件確認された」という具体的な情報になった。

JINSのクレジットカード情報流出、不正利用7件確認 流出は購入画面改ざんで外部に送信させる手口 - ITmedia ニュース

今回、大きな問題になったのは「JINSのサーバがクレジットカード情報を保存していたのかどうか」ということだ。
15日付のプレスリリースでは、流出した可能性がある情報は
  • カード番号
  • カード名義人名
  • セキュリティコード
  • カードの有効期限 
となっていた。
特に「セキュリティコード(カード裏面の名義人サイン欄にある3桁の数字)」は、クレジットカードの実物を保持していない他人による悪用を防ぐためのコードなので、これが流出してしまうのと大きな問題となる。


クレジットカードのセキュリティコードの調べ方

しかし17日付のプレスリリースによると、

購入画面内の「支払方法選択画面」に入力されたお客様のクレジットカード情報が、第三者の外部データベースサーバに送信される内容の改ざんであり、当社で保管していないお客様のクレジットカード情報が外部流出する結果となりました。
via: 不正アクセス(JINS オンラインショップ)に関する最新状況のご報告(PDF)

となっているように、JINSのサーバに保存されたクレジットカード情報が不正アクセスで抜かれたのではなく、購入時のクレジットカード情報を入力する画面が改ざんされて、外部のサーバに入力内容が送信されるようになっていた、ということだ。

なお、今回改ざんされたのはJINS自身が運営するオンラインショップのみであり、Amazonや楽天のJINSショップは対象になっていない。もちろん、実店舗やJINSの自動販売機も対象外だ。

ここ最近、Googleやtwitter、Evernoteといった大手WEBサービスが不正アクセスの標的になっているが、国内の身近なECサイトでもこのような事件があると、ネット上でクレジットカードを使うのがためらわれてしまう。
事前振込・コンビニ払い・着払いなどで対応するか、どうしてもクレジットカードが使いたい場合は「Vプリカ」のような使い捨てカード番号を使うか、そういう対応が必要になってきそうだ。