月曜日雑

もはや見慣れた情報流出だけど、今日のニュースは一味違った。

 

XcomGlobal 不正アクセスによるお客様情報流出に関するお知らせとお詫び

http://www.xcomglobal.co.jp/info

詳細はリンク先の通りだけれど、この流出の経緯の部分にサラッと書いてあったくだりが、

 

お客様情報を保持していたサーバーには、最大146,701件のクレジットカード情報があり、同件数のお客様情報(①カード名義人名、②カード番号、③カード有効期限、④セキュリティコード、⑤お申込者住所)がありました。不正取得により流出しました件数はうち109,112件になり当該情報は、平成23年3月7日~平成25年4月23日にお申し込み頂きました、お客様の情報が対象となります。

 

④セキュリティコード

 

(´・ω・`)!

 

いわゆるカード券面に書かれているCVCコードという3桁ないし4桁のコードだけれど、これがサーバに保存されているという事にすごく驚いた。本来カードホルダー自身しか知り得ない物理コードとして、貴重なセキュリティキーのポジションにあるのだけれど、これが一定期間保存されていたら元も子もない話で。

 

当然これは決済承認用に使用されてしかるべきで、承認後に保存しておく理由は一切無い筈で、なんでこんなものが暗号化もされずに保存されているのか、甚だ理解に苦しむ。

 

もはや券面に表示されているデータは、技術さえあれば世界中の何処からでもアクセス出来る状態という事で、今のところ最強はワンタイム認証を行ってる決済方法だけといった所だろうか。JNBやSMBCでRSAのパスコードジェネレータを使っているけど、これも恐らく技術があればアルゴが解析出来るかもしれない。

 

まぁ今更現金で支払なんてバカバカしくて出来ないけれど、大半がそういう情報取扱になってるんだろうなぁと思ってゾッとした。