「イモトのWiFi」のグローバルデータ、不正アクセスでカード情報11万件流出 セキュリティコードや住所も (ITmedia)
不正アクセスによるお客様情報流出に関するお知らせとお詫び (エクスコムグローバル)
海外で使うためのモバイルWi-Fiルーターレンタルサービスを提供しているエクスコムグローバルのサーバーからクレジットカード情報11万件が流出したとのこと。
ニュースリリースによると流出した情報は
お客様情報を保持していたサーバーには、最大146,701件のクレジットカード情報があり、同件数のお客様情報(①カード名義人名、②カード番号、③カード有効期限、④セキュリティコード、⑤お申込者住所)がありました。
ということで、不正課金が行うのに十分な情報が流出してしまったことになります。
システム屋観点で特にショックが大きいのは、セキュリティを守る砦となるはずのセキュリティコードまでサーバーに(流出可能な状態で)保持されていたことでしょう。「持たなくてよい情報は持たない」ことの必要性を改めて認識した次第。エクスコムグローバルの場合は何らかの事情でフルセットの情報を持つ必要があったのかもしれませんが、直近の発表では
クレジットカード情報・取引情報の安全を守るために、国際ペイメントブランド5社が共同で策定したクレジットカード業界におけるグローバルセキュリティ基準であるPCI DSSの取得に向けて取り組んでおりました。しかしオンライン決済の再開までには時間を要し、お客様にさらなるご迷惑およびご不便をお掛けすることが予測されるため、今後はクレジットカード情報を当社で保持せず、既にPCI DSSを取得している決済代行会社が保持する「リンクタイプ決済」への切り替えに向けたシステムの開発をしております。
つまりクリティカルな情報を持たなくてもやっていけると自身が言っているわけです。
クレジットカードの情報を預けることは昨今珍しいことではなくなりましたが、このような事象を目の当たりにすると、やはり何らかの自衛策が必要かと思います。