2019年前半もクレジットカード情報の流出事件が続いている。大きな事件としては、宅ふぁいる便とヤマダ電機だ。Webセキュリティの第一人者である徳丸浩氏に、これらの事件について語ってもらった。2回にわけて掲載する。後半は大手のヤマダ電機の通販サイトでの漏洩問題について解説してもらった。

(聞き手は日経xTECH Active編集部)

大手のヤマダ電機が情報漏洩

次はわりと最近の事例でヤマダ電機の情報漏洩です。

ヤマダ電機の通販サイトに不正アクセス
 2019年5月29日、ヤマダ電機は同社が運営する通販サイト「ヤマダ ウェブコム・ヤマダモール」が不正アクセスを受け、クレジットカード情報が最大3万7832件流出した可能性があると発表した。流出した可能性があるのはクレジットカード番号と有効期限、セキュリティコードとしている。

 同社によると2019年3月18日~4月26日の間にヤマダウェブコムやヤマダモールで新規にクレジットカードを登録したり、カード登録情報を変更したりした顧客最大3万7832人が対象。該当サイトの決済用アプリケーションが改ざんされたことが原因としている。

徳丸 ヤマダ電機については、いまだに詳細は公表されていないので、具体的なことは話せないのですが、決済システムが改ざんされた、ということは発表されていました。カード情報は保存していなかったが、決済システムが改ざんされて情報漏洩した、ということなので、おそらく入力したものがその場で盗まれたということでしょう。この手口自体はよくあるものです。ただ、事件はほかにも数多く起きていますが、ヤマダ電機のような超大手のサイトがやられたのが衝撃的だな、と思うわけです。

またしても流通系なんですね。

徳丸 そうなんです。もうひとつ、ヤマダ電機のサイトは実はWindowsで動いているようなのです。そのためのほかの案件とは、手口もちょっと違うかもしれない、というところがあります。よく「利用者の立場から被害に遭わないようにするにはどうすればいいんですか」と聞かれるのですけど「いやあ、それは難しいですね。大手さんを信用するくらいですかね」と言っていたら超大手が被害に遭ったので、参りましたという感じです。

ヤマダ電機はクレジットカード情報を非保持にしていたのでしょうか。

徳丸 いままでクレジットカード番号をサイトに保存するのはよくないという人が多かった。安全じゃない、と。ところが、ヤマダ電機の例では保存したカード情報を使っていた人は被害に遭わなかった。その場でカード番号を入力せずに登録してあった情報を使ったユーザーは助かっています。つまり、被害の起きた期間にカード番号を直接入力しなかった人は被害に遭ってない。こういった事態は予想されていたことですが、実際に確証が得られたものとしてはヤマダ電機がたぶん初めてですね。だからカード情報を保存しなさいとも言いにくいのですが、どちらが安全かは必ずしも言えないという状態にはなっていると思います。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。