ホントこんな駄文をいつまで書くつもりだろう?と本人が思いつつ、5ページ目です。
今回は、セブンペイ事件とは別の事件から、辛口に切り込んでみます。
2013年の事件
多くの人が忘れてて、今回の事件をきっかけに一部で再度ツッコミを入れられるハメになっている事件があります。
2013年に、同じグループのセブンネットショッピングで、クレジットカード番号を含む漏洩事件が起きています。
事件のあらまし
事件のあらましについては、当時のニュースが参考になります。
セブンネットショッピングでカード情報漏えいの可能性~最大15万件
https://internet.watch.impress.co.jp/docs/news/621296.html
また、piyokangoさんがここでもまとめてます。このときは、piyologじゃなくNaverまとめですね。
セブンネットショッピングが不正ログインの被害を受け、クレジットカード情報が漏えいか
https://matome.naver.jp/odai/2138250202202142201
ざっくり書くと、2013年4月17日~7月26日の間、第三者が不正ログインし、クレジットカード情報を含む個人情報を閲覧されたことにより、最大で約15万件の情報が漏洩した可能性がある、というものです(今回以上に大事じゃねーか?)。
クレジットカード会社からクレジットカード情報の流出懸念の連絡があり、調査の結果発覚。
原因は、サイトの脆弱性だったとのこと(ただし、詳細は未公表)。
セキュリティの専門家でなくても、「うわぁ最悪・・・」と思うレベルの漏洩事件です(むしろ、こっちの方がネタになりそう)。
クレジットカード番号と有効期限だけでは、cvv番号や3Dセキュアを用いれば悪用できないはずですが。cvv番号をブルートフォースできちゃう実装する会社も稀にはあるので、悪用は不可能ではないですね・・・。
正直な話、この事件や他のちょっとした事件などから、セブンの系列では事前のチャージ式のnanacoですら使いたくないなと、結構マジで思ったものでした。
PCIDSSは?カード不保持の実装は?
この事件でなんといっても目を引くのは、「クレジットカード番号の漏洩」です。
しかも、この漏洩したクレジットカード番号は、一部は悪用された可能性が高いです。
記事には「悪用された」と明記されていないものの、最初の通報元が「クレジットカード会社からクレジットカード情報の流出懸念について連絡があった」ということから、その可能性は極めて高いと言えます。
なぜなら、クレジットカード会社も常日頃よりカードの悪用に目を光らせたり、カード保有者からの通報を受けていますが、1件の通報で漏洩元が特定されることはほとんどありません(まあ、それでもこの時点で1件は確実に不正利用されたってことなんですがねw)。
多くの人は、1枚のクレジットカードを複数のECサイト、ショッピングサイトでつかったり、物理的ないろんなお店で使うのが普通でしょう。そして、ECサイトやショッピングサイトだけでなく、物理的なお店も漏洩元の可能性としてリストされます。
それでも、複数人の被害者情報を元に絞り込んで行くに従って、重複するサイトやお店は限られてきます。
そうやって、漏洩元となっている可能性が高いと判断し、通報していると考えられます(すいません、ここは聞きかじったことはありますが、憶測を含みます)。
このとき、漏洩の原因はどうだったのか?という疑問がありますが、「セキュリティに関する事項のため」というもっともらしい理由で公開していません。
「もっともらしい」というのは、「らしい」であって「もっともである」と納得できる理由ではないですね。
なぜなら、不具合をちゃんと修正したのであれば、公開したところで再度攻撃は成功しないはずです。
その上で公開しないのは、十分には直せていない可能性があるうえ、肝心のホワイトサイドによる検証もできない、ということだと思っています(だから私は、ここの会社は信用できないので使わない)。
原因としては、サイトが脆弱でSQLインジェクションで盗まれた、XSSが可能でそれを悪用することで、登録時の情報を盗んでいた、パスワードリスト攻撃に遭い不正に閲覧された、などが考えられます。
ただ、報道の内容から察するに、「パスワードリスト攻撃に遭い不正に閲覧された」の可能性が高いように思われます。
正確な情報を黙秘している以上、ここからはこの推測で考察を進めることになります。
ここで気になるのは、「不正アクセスで閲覧された」までは分かる(・・・分かっていいのか・・・?)として、閲覧できた内容に「クレジットカード番号」と「有効期限」が含まれる点です。
「クレジットカード番号を登録しているんだから、それはあるのは当たり前ではないか?」と思うかもしれないですが。
しかし、PCIDSSという基準では、カード情報の取り扱いが厳しく規定されています。
にも関わらず、ログインした閲覧画面でクレジットカード番号や有効期限が見えてしまうのは、ちょっと信じられません。
カードを登録している経験がある方はお気づきかもしれませんが、そういったデータを表示する場合でも、ある一定の部分が「*」になって分からなくしてありますね。
また、開発サイドの話で恐縮ですが、こういった事業者がユーザのカード情報を用いて決済をする場合、ユーザのクレジットカード番号を事業者が知る必要がない実装も可能です。
決済するカード会社や決済代行会社がAPIを出しており、クレジットカード番号を保持しなくても決済が可能なシステムが組まれています。
つまり、「事業者側がクレジットカード番号を保持しない」といったシステム作りも可能になっています(詳しくは、契約する会社から貰えるAPIの仕様書を確認してください。流石にもう持ってない・・・)。
2013年ということで、カード情報不保持の機能がどの程度まで提供、普及していたかまでは確認できませんが、クレジットカード情報を保持していた以上、PCIDSSに準拠すべきだったことは明白です。
さて、今回のセブンペイの事件では、「セキュリティ審査は行った」と繰り返し述べていましたが、このときはその審査はしていなかったのでしょうか?
それとも、「セキュリティ審査は行った。ただし、PCIDSSに準拠したとは言ってない」というのでしょうか?
この時の状況や対応も、実は大いに疑問があるものだったと考えています。
この時の教訓は本当に生かされたのか?
わざわざ古い話を引っ張り出してきたのは、今回発生したセブンペイの事件は、過去の事件を教訓にして防ぐことはできなかったのか?といった点を考察したいためです。
2013年の事件を教訓に、セキュリティ強化をしたのではなかったのでしょうか?
この事件を見て、不思議に思うのではないでしょうか。
個人的には、2013年の事件では、彼らは根本的には何も変わらなかった、と思わざるを得ません。
まず、不正にログインに関しては、クレジットカード番号などが閲覧できた事件を受けても、このときに不正ログインの対策を強化するには至っていなかった、ということになります。
本当は、このときに二段階認証、二要素認証を検討・導入していてもおかしくないはずなんです。
また、仮にこの時リスト型攻撃を受けていたのであれば、その検知技術を導入すべきであったろうし、導入していれば被害者からの通報よりも前に不正なアクセス試行に気づけていたのではないでしょうか?(この点は、被害の原因を公表していないので推測になりますが、これは公表していない側の問題かなと。)
また、「セキュリティ審査をやっている」と例の記者会見でもいっていましたが、何を基準にしているかが不明確です。
この時も、クレジットカードを取り扱うグローバルスタンダードのPCIDSSのルールは準拠していなかったんじゃないでしょうか?
「セキュリティ審査をした」といっても、必要とされる基準に則っていなかったのならば、2013年の頃となんら変わっておらず、反省もしていなかったということじゃないでしょうか?
また、セキュリティの体制も強化されたとは思われません。
2013年の事件でも、今回の事件でも、最初の通報は外部からです。
セキュリティ業界では、確かに最初の検知が外部通報が多い、というのは定説ではあるのですが・・・。
2013年の事件を受けてセキュリティの監視を強化していれば、不正アクセスの試行は自身で検知できていもおかしくなかったと思います。
実際、インターネットでサービスしている大手さんは、日々そういったものと格闘し、調査に追われていると伺っています。
今回の事件の顛末を見ると、事件を教訓に十分なセキュリティ体制を整備していた、とは言い難いと思います。
更に気にになるのは、情報公開の体制です。
2013年の事件でも、詳細情報は公開しておらず、なんとなくもみ消した感があります。
今回の事件での記者会見やその前後の情報公開も果たして十分と言えるでしょうか?
組織保護の名分の下、今回もなし崩しになるんじゃないでしょうか?
こうなってくると、仮に「修正して再開した」と言われても、中身はあんまり改善されてないんじゃないか、と疑ってしまいます。
そして、組織的に改善されてないなら、また似たような事故を起こすんだろうな・・・などと訝ってしまいます。
彼らは過去の事件と今回の事件で、何を学び、何を改善するのでしょう?
期待するか、不安に思うかは、各個人のご判断にお任せします・・・。
(だから俺はnanacoですら使いたくないと(ry )
え・・・、まだかいてないことがある?
まだ何を書くつもりだ俺は・・・。