ヤマダウェブコムの情報漏洩についての考察
【悲報】ヤマダウェブコム、PHPの開始タグをつけ忘れてソース丸見えに
ヤマダ電機のオンラインサイトといえば、2年半前にサイトのタグの些細なミスと、チェック機構が働いていないという大きなミスで、ソースコードが丸見えになってしまうというポカをやらかしたのが記憶に新しいです(笑)
ヤマダ電機、不正アクセスで顧客のクレジットカード情報流出 最大3万7000件 - ITmedia NEWS
記事によるとヤマダ電機は 4/16に不正アクセスによるサイト改ざんで、情報漏洩が発生していたのを把握していたにも関わらず、調査によって、不正なコードを注入されていた決済システムを停止したのが10日経った 4/26だというのだから酷すぎる。情報漏洩期間が3/18~4/26だから、10日間放置してさらに被害が拡大したことになる
その時の公式サイトがこちら
サイトの隅っこに
【重要】クレジットカードメンテナンスのお知らせ
システムメンテナンスの為、クレジットカードの「新規登録」又は「変更」をしばらくの間休止させていただきます。尚、新規ご決済をクレジットカードでご希望のお客様につきましては、「ご本人認証サービス」を使用したクレジットカード決済のご利用ができます。又、他の決済方法もご利用いただけますのでよろしくお願いいたします。」 |
システムメンテナンスとしか書いていなかったのだ。
ヤマダ電機側は「正確な状況を把握しない段階で公表することはかえって混乱を招くため、第三者調査機関の最終報告書をもって報告することにした。情報公開が遅れたことを深くおわびしたい」と言っているが、初動の把握からシステム停止まで10日かかってる時点で、顧客を最優先に考えておらず、重要性も分かっていなかったことが伺え、ダメ企業の見本であるのがわかる。
さすが、大手電機量販店、顧客満足度最下位と言われる だけのことはある ( ˘ω˘)
次、情報が漏れたのは、「クレジットカード番号、有効期限、セキュリティコード」なのだが、セキュリティコードはそもそも、オンライン決済のセキュリティのために保存するのは禁止されており、発覚した場合ペナルティーもありうる代物である。
というわけで、ヤマダ電機は、セキュリティコードを保存していたのではないかと一部で叩かれている。
しかし、待ってほしい。
今回は、データーベースに保存された情報が流出したのではなく、
アプリケーションの改ざんによって、クレジットカード情報を登録したり、変更したユーザーだけが流出した可能性があると言っている。
つまり、クレジットカードの情報を入力したフォームに小細工が施されていて、情報を抜き取るためのサーバーにフォーム情報が転送される仕組みになっているだけで、流出してしまうのだ。
なので、セキュリティーコードの保存について非難するのは、おそらく間違いだと思われる。
とはいえ、クレジットカード番号と、セキュリティーコードの流出は1ヶ月以上前に被害者に伝えることもできたわけで、これが原因で、不正利用されたクレジットカードの補填は、全てヤマダ電機側が行わなくてはならない。
1ヶ月以上の隠蔽工作によって、ブランドイメージに傷がつき、クレジットカードの不正利用被害も拡大し、高く付いたのではないだろうか
はっきり言って、バカダ電機である( ˘ω˘)
Comments