未分類

「JINS」のクレジットカード情報流出における2点の再発防止策について決済代行営業の立場から考えてみた

Posted on by 小檜山 歩 / 0件のコメント

 

メガネの「JINS」オンラインショップで発生したクレジットカード情報流出の最終報告書が出たようです。クレジットカード決済代行サービスの営業マンとしては気にせざるを得ない事件。

JINSオンラインショップのクレジットカード情報流出における再発防止策

この再発防止策について、気になる点があったので、まとめてみます。

「Struts 2の脆弱性を突いて不正侵入」、JINS通販サイトのカード情報漏洩
http://itpro.nikkeibp.co.jp/article/NEWS/20130501/474536/

不正アクセス(JINS オンラインショップ)に関する調査結果(最終報告)

http://tcscmsstorage.blob.core.windows.net/cms3046/%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%EF%BC%88JINS%E3%82%AA%E3%83%B3%E3%83%A9%E3%82%A4%E3%83%B3%E3%82%B7%E3%83%A7%E3%83%83%E3%83%97%EF%BC%89%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E8%AA%BF%E6%9F%BB%E7%B5%90%E6%9E%9C%EF%BC%88%E6%9C%80%E7%B5%82%E5%A0%B1%E5%91%8A%EF%BC%89.pdf

この最終報告によると再発防止策は下記の2点。

・クレジットカード決済システムの国際的なセキュリティ基準である「PCI DSS」への準拠・・・対策1

・画面遷移型のクレジットカード情報非保持サービスの採用・・・対策2

正直、十分すぎるぐらいの再発防止策。セキュリティ委員会を作るとか、従業員の教育を徹底するとか、システムベンダーを変更するとかではない、具体的な施策であり、最終報告書に書いてあるように、「非常に高い情報セキュリティレベルが実現可能であり、セキュアなクレジット決済を行うことが可能になる施策」と言い切れるもの。なぜ、十分すぎる防止策なのかを説明していく。

なぜ、クレジットカード情報が流失したのか

まず、クレジットカード情報が流失した理由に立ち返る。事件の中間報告書によると、クレジットカード情報を自社データベースに保有しており、そのデータベースから流失したわけではない。クレジットカード情報を入力するフォームは自社サーバー上にあり、エンドユーザーが記入したクレジットカード情報については暗号化通信を行い、クレジットカード代行会社に送信し、結果通知が行われた後に消去していたように見受けられる。

不正アクセス(JINS オンラインショップ)に関する調査報告(中間報告)

http://tcscmsstorage.blob.core.windows.net/cms3046/%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%EF%BC%88JINS%E3%82%AA%E3%83%B3%E3%83%A9%E3%82%A4%E3%83%B3%E3%82%B7%E3%83%A7%E3%83%83%E3%83%97%EF%BC%89%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E8%AA%BF%E6%9F%BB%E5%A0%B1%E5%91%8A%E6%9B%B8%EF%BC%88%E4%B8%AD%E9%96%93%E5%A0%B1%E5%91%8A%EF%BC%89.pdf

クレジットカード情報流失の原因は、JINSのサーバー上にあるクレジットカード情報を入れるフォームのシステムが改ざんされ、クレジットカード代行会社だけではなく、流出先のサーバーにもクレジットカード情報記入欄で記入したクレジットカード情報が送られてしまった。そのため、情報流出の責任は決済代行会社ではなく、JINSとそのJINSのショッピングサイトを運営していたシステム会社にあるという事。

再発防止策が十分すぎると言えるわけ

再発防止策としてクレジットカード情報の記入はJINSのサーバー上に置いてあるフォームではなく、決済代行会社が提供するフォームで行い(対策2)、クレジットカード情報を扱う際の国際的なセキュリティ基準を準拠する(対策1)という2つが挙げられている。

対策2を行った場合、最終報告書にもあるように、クレジットカード情報をJINSが扱うことなく、決済代行会社に任せることが出来る。もちろん、決済代行会社はクレジットカード情報を扱う際の国際的な基準であるPCI DSSに準拠しているのがほとんどなので、安全になる。

十分すぎる理が見えてくるのだが、対策2でクレジットカード情報を扱わないようにしたのに、対策1で記載されているようなクレジットカード情報を扱う際の国際的な基準に準拠するということクレジットカード情報をJINS側が全く扱わないようにすれば様々なコストがかかるPCI DSSに準拠する必要はないのである

なぜ、「PCI DSS」へ準拠するのか

この問いを考える。ありえる回答としては下記の2つ。

「1:慎重に慎重を重ねた」もしくは「2:利用している決済代行会社のシステム上、クレジットカード情報が確認でき、何かしらの方法でデータとして管理することが出来てしまう」から

それぞれの回答について、掘り下げていきたい

慎重に慎重を重ねた

対策2だけでも安全だけど、明確なセキュリティの基準である対策1も行うことで失った信頼を取り戻そうとしているのかもしれない。

利用している決済代行会社のシステム上、クレジットカード情報が確認でき、何かしらの方法でデータとして管理することが出来てしまう

こっちだと少し危険を感じてしまう。基本的に決済代行会社のシステムで購入者のクレジットカード情報を確認することは出来ない、というよりも確認できてしまうと危険なので、そう出来ないように、購入者の情報は他の手段で確認するようになっている。

ただ、クレジットカード情報を見ることが出来てしまう決済代行会社のシステムを使っている場合、システム上はクレジットカード情報を管理することになり、PCI DSSに準拠する必要が出てくる。

決済代行の営業をしている中で、他社の決済代行システムを見ることがごくまれにあるのだが、店舗に渡される管理画面上で決済されたクレジットカード情報を見ることが出来る決済代行システムを見たことがある。危ないと感じてしまった。管理画面にログイン出来る人間が誰でもクレジットカード情報を落とすことが出来るのであれば、その加盟店はクレジットカード情報流出の危険性と隣合わせということになる。

JINSが利用している決済代行会社のシステムがそのようなものであればPCI DSSに準拠するのも理解できる。

まとめ

JINSの再発防止策は十分すぎるもの。ただ、そのウラに何があるのかを考えると、利用している決済代行会社のシステムに少し不安が残る。

最終報告書については興味深い記述が他にもあったので、またの機会に考えてみる。

The following two tabs change content below.
Twitter のプロフィールFacebook のプロフィールGoogle+ のプロフィールMy LinkedIn profileMy Instagram profileMy Pinterest profile

小檜山 歩

コンサルタント日系総合コンサルティングファーム
渋谷のITベンチャー→日系人事コンサル。会社ではコンサルしながらCSRの活動もしてます。いろいろ無秩序につぶやきます。2017年5月から1年間タイでトレーニーとして働いてました。今は帰ってきて日本で働いてます。
小檜山 歩
渋谷のITベンチャー→日系人事コンサル。会社ではコンサルしながらCSRの活動もしてます。いろいろ無秩序につぶやきます。2017年5月から1年間タイでトレーニーとして働いてました。今は帰ってきて日本で働いてます。