印刷通販を手がけるグラフィック、クレジットカード情報を流出させる 40
ストーリー by hylom
どうしてこうなった 部門より
どうしてこうなった 部門より
印刷通販を行っているグラフィックが「中国籍サーバー」からの不正アクセスを受けて個人情報を流出していたことを発表した(グラフィックの発表)。
流出した個人情報は395件で、流出の疑いがある情報はクレジットカード番号とセキュリティコード、有効期限、同社の会員ID。7月11日に法人向け決済サービスの決済代行会社より指摘を受けて調査を行ったところ、不正アクセスがあったことが判明したという。また、流出した個人情報は特定できていないとのこと。
なお、同社は当初顧客データベース内にカード情報を記録していないとしていたが、その後顧客データベースのログにカード情報が記録される状態になっていたことが判明したという。同社はこれを認識していなかったとのことだが、指摘を受けて修正をおこなったとのこと。
流出したときのガイドラインってあるのかな (スコア:0)
つーか、いい加減流出に耐性あるクレカシステムってできないものか
ネットバンキングで配ってる同期乱数機しか思いつかないが
金かかるからサボッてるんだろうな
セキュリティコードなんていう 笑 しかコメントできない、桁数を増やしただけで
お茶を濁している現状を何とかしてほしい
Re:流出したときのガイドラインってあるのかな (スコア:1)
ご存じないのかもしれませんが
カード決済したいだけならECサイトがクレカの番号を保存する必要はありません、
再決済もカード番号無しで可能です。
ふつうにシステム組んでいればカード番号流出のリスクは本来ありません。
Re: (スコア:0)
普通に組むというのが決済手続きの仕組みについてよく理解しないままシステムを組むことを指すためにこうなってしまうのでは?
Re:流出したときのガイドラインってあるのかな (スコア:2)
普通に組んでカード情報が自社サーバを通らないようにしていたものを利便性向上のための改良(とセキュリティの改悪)のためカード情報が自社サーバを通ってログに書き出していたとリリースには書いてある。
それにしても、流出したのはカード情報とグラフィック会員IDのみとあるのにログインパスワードの変更を求めているのはなぜに?
Re: (スコア:0)
amazonなんかも、カード情報を自社保持しているように思えるけど
あれは大丈夫なんですかね。
Re:流出したときのガイドラインってあるのかな (スコア:2)
Re: (スコア:0)
完全な番号+CVVを取り扱うのは初回だけで後はトークンで持ってんじゃない? 盗んでも使えない情報だけが残してあると思う
Re:流出したときのガイドラインってあるのかな (スコア:1)
だいたいはサンプルプログラムがついてくるのでそのとおりにすればカード番号は保存しないですむはず。
また、契約携帯にもよりますが「入力などで受け取ったカード番号は保存しないように」と決済会社から説明があると思います。
Re: (スコア:0)
流出しても395×500=200万円弱とかペナルティがしょぼ過ぎるから間抜けな事例が後を絶たない。それすら払わん所もあるし。
取敢えずもう二桁上げれば、少しはマシになるんじゃないかな。
Re: (スコア:0)
一件五百円は民事訴訟の金額で刑事罰ではありません。故に上げ下げするものでもありません。
Re: (スコア:0)
裁判所に決める権限があるから、「判例より賠償を高くして」という話じゃない?
Re: (スコア:0)
20万、じゃないの?
まぁ、額は問題じゃないし、その単価は事業者の自主的なお詫びの気持ちなので大した意味はないし。
Re: (スコア:0)
利用する決済代行システムによって違うし
パッケージのECシステム利用する時は決済代行選べない場合もある
カード情報登録型だと顧客からどのカード登録したか忘れたって問い合わせもあるので下4桁とかを保存しているところもある
Re: (スコア:0)
「保存してはダメ」という考え方とその理由が
末端の人員にまでちゃんと浸透していないと
しれっと記録されちゃったりするんですよね
以前関与した某システムでは
通常時はクレカ番号は保存されない仕様にも関わらず
決済サーバとの通信がエラーになった時に限り
クレカ番号を含む決済情報がエラーログに吐き出されていました
Re: (スコア:0)
「オモラシをしたら親にゴメンなさい」と謝るルールがあります(下の文章は割賦販売法施行規則からの抜粋)。
業界の自主ルール [j-credit.or.jp]もあります。
Re: (スコア:0)
鍵「かっこの位置がおか」しくない?
Re: (スコア:0)
×鍵かっこ
Re:流出したときのガイドラインってあるのかな (スコア:2)
keyじゃなくて、「かぎしっぽ」とかのかぎですよね。鉤。フック船長の手。
Re: (スコア:0)
Google日本語入力はこういうのとか、嘘付きとか、明らかな誤字でもかまわず収録しているから困る。
Re: (スコア:0)
Codesure(Visa)とかdisplaycard(master)とかOTP機能付カードはありますよ
あまり普及していないだけで。
実際3DSがあればある程度は防げるしそも決済代行会社はPCIDSSに準拠していても
販売元がしていないのが問題なんですよね
リンク型決済のみにするかstripe checkoutみたいな方式にするかでAPIを一度禁止して
カード番号を入力さえない方向にするしかないかと。
Re: (スコア:0)
根本的な解決じゃないけど、Paypal使え、ってことだと思う。
自分で決済システム作ろうと思うな。情報保持しようと思うな。
現状でできることは、クレジットカード番号を渡す相手を極力少なくするのがベスト。
企業側もリスクあるものを無駄に保持しない方針にした方がいい。
氏名やメールアドレスの流出とクレジットカード番号の流出はダメージが違いすぎる。
まぁ情弱な日本の一般消費者がPaypal使えるとは思えないし難しいか。
海外はどうやって普及させたんだろう。
Re: (スコア:0)
paypalという安全な実装例があるなら、なぜそれをクレカ会社が提供しない?
という点でおかしいと思うが
paypalって、本当に安全?
パスワードが付いているだけな気がする
Re: (スコア:0)
クレカ会社は安全な実装例を提供しています。弱小ECサイトがアホな独自開発をしているだけで。
Re: (スコア:0)
そうだとすると、消費者からすると、Paypalって決済手数料の二重取りっていう印象になっちゃうんだよなあ…。
実際Paypalの方が生のクレジットカードより高いこともあるし。決済を二重にして余計なお金をPaypalに渡すのはなんかやだな。
# Paypalのメリットは、カード番号漏えいなどに対するシステム上の安全性というよりも、
# 変な業者に引っかかって支払い拒否する場合のやりやすさ、だと思う。
# 番号漏えいによる不正利用はカード会社が全額補償してくれるけど、変な業者との対応は渋いから。
# Paypalはその点楽。
# 業者側にも、客に「なんか知らない会社だけどPaypalだからまあいっか。試しに買ってみよう」と思ってもらえる。
Re: (スコア:0)
クレジットカード番号を教える必要があるのはPaypalだけ、ってだけでも大きな安全性になる。
各ECサイトに教えて漏洩リスクを増大させる必要がない。
Paypal自身の安全性は別として、機密情報を預ける相手が少ないほど安全なのは確かかと。
Paypalはもう少し2段階認証を進めて欲しいところ。日本からじゃダメだった気が。今はできるのかな。
Re: (スコア:0)
私もPaypalに一票。
日本で普及しないのは知名度の問題でしょう。
e-TAXで3000円貰った人なら、あれくらいは大丈夫と思います。
20世紀末だと自前で通販サイト作ってもクレジットカード会社がそんな小口の通販なんて相手にしてくれないという時代があり、仕方なく振り込みのみで対応していた所を知っていますが、
そこもPaypalが出来てからはPaypalでやってますね。
日本以外からの購入でも支払いの対応が簡単というのもメリットのようです。
海外向けは送料の計算が入るので、かごに入れてすぐ出荷は無理のようですけど。
Re:流出したときのガイドラインってあるのかな (スコア:1)
一方で eBay は、日本市場では Yahoo!オークションに太刀打ちできず、撤退を余儀なくされた。
Re: (スコア:0)
普及した後でeBayが手を出したイメージがある。
どっちかって言うとBIDPAYがオークションから手を引いたのが一番の要因でないかなと。
同人作家の憂鬱(仮) (スコア:0)
「クレジットカード情報が漏れたくらいならどうってことない。
印刷依頼した同人誌のタイトルや内容と本名がリンクされるリスクに比べたら微々たるもんだ。」
そう思ってる人はいないだろうか。
#メッセサンオーの事件では、青くなった高校生がいたとかいないとか...
Re:同人作家の憂鬱(仮) (スコア:1)
昔は同人誌の奥付に本名住所を書くのが当たり前だったって嘘としか思われないだろうな。
Re:同人作家の憂鬱(仮) (スコア:1)
20世紀のいつ頃までだっけ?
カネハル(夢路行)の個人誌がそんなんだった気がする(おそらく他もだろうけど)
Re:同人作家の憂鬱(仮) (スコア:1)
2chの同人コミケ板で、奥付の住所を元にストーカーの突撃をくらった、住所を書くのはやめたほうがいいみたいな体験談で盛り上がっていた記憶があるので、21世紀の初め頃までは少なくとも一部で生き残っていた可能性がある(今にして思うと創作実話かもしれない)。
Re: (スコア:0)
ググッて出てきたスラドの過去ログ [srad.jp]によると、2009年の時点でも奥付に住所を書いている同人誌はまだ存在したらしい。
Re: (スコア:0)
今だって特定商取引法で連絡先書かないとネットで同人売るの違法ですよ
Re: (スコア:0)
だから委託する。
Re: (スコア:0)
TBCの時の姉ちゃん連中もだな
「中国籍サーバー」からの不正アクセス (スコア:0)
いい加減に外交問題としてねじ込めよ > Coward Japanese government
Re: (スコア:0)
威勢がいいのは口だけですから
Re: (スコア:0)
遺憾砲すら撃ってないね。
問題とすら認識してないのか、
インセンティブなのか。。
ほぼ確実に前者だと思うが、そちらの方が致命的。
びっくりした (スコア:0)
GRAPHTEC [graphtec.co.jp]かと思った