2019年前半もクレジットカード情報の流出事件が続いている。大きな事件としては、宅ふぁいる便とヤマダ電機だ。Webセキュリティの第一人者である徳丸浩氏に、これらの事件について語ってもらった。2回にわけて掲載する。後半は大手のヤマダ電機の通販サイトでの漏洩問題について解説してもらった。
大手のヤマダ電機が情報漏洩
次はわりと最近の事例でヤマダ電機の情報漏洩です。
同社によると2019年3月18日~4月26日の間にヤマダウェブコムやヤマダモールで新規にクレジットカードを登録したり、カード登録情報を変更したりした顧客最大3万7832人が対象。該当サイトの決済用アプリケーションが改ざんされたことが原因としている。
徳丸 ヤマダ電機については、いまだに詳細は公表されていないので、具体的なことは話せないのですが、決済システムが改ざんされた、ということは発表されていました。カード情報は保存していなかったが、決済システムが改ざんされて情報漏洩した、ということなので、おそらく入力したものがその場で盗まれたということでしょう。この手口自体はよくあるものです。ただ、事件はほかにも数多く起きていますが、ヤマダ電機のような超大手のサイトがやられたのが衝撃的だな、と思うわけです。
またしても流通系なんですね。
徳丸 そうなんです。もうひとつ、ヤマダ電機のサイトは実はWindowsで動いているようなのです。そのためのほかの案件とは、手口もちょっと違うかもしれない、というところがあります。よく「利用者の立場から被害に遭わないようにするにはどうすればいいんですか」と聞かれるのですけど「いやあ、それは難しいですね。大手さんを信用するくらいですかね」と言っていたら超大手が被害に遭ったので、参りましたという感じです。
ヤマダ電機はクレジットカード情報を非保持にしていたのでしょうか。
徳丸 いままでクレジットカード番号をサイトに保存するのはよくないという人が多かった。安全じゃない、と。ところが、ヤマダ電機の例では保存したカード情報を使っていた人は被害に遭わなかった。その場でカード番号を入力せずに登録してあった情報を使ったユーザーは助かっています。つまり、被害の起きた期間にカード番号を直接入力しなかった人は被害に遭ってない。こういった事態は予想されていたことですが、実際に確証が得られたものとしてはヤマダ電機がたぶん初めてですね。だからカード情報を保存しなさいとも言いにくいのですが、どちらが安全かは必ずしも言えないという状態にはなっていると思います。