« ISO/IEC 17799:2005 を 100 倍楽しむ方法 | トップページ | よいコンサルタントの見極め方 »

2005年6月21日 (火)

クレジットカード情報流出(1)

この事件で思うこと。

クレジットカードの不正利用は、全額補償なので事後処理はされそうですね。
ただ、不正利用されたカード番号は即日無効になるため、定期的な支払い(ISPの月額とか)に登録して使用していると番号変更が大変そうです。
考えようによっては、不正利用されてから番号変更するくらいなら、いまのうちに、番号変更してしまう方が楽かもしれません。

今回の件は、最初 MasterCard の事件として報道されましたが、実際には、CardSystems Solutions Inc. という会社の問題なので、ここが処理したすべてのトランザクションに影響があるのかもしれませんが、 彼らのプレスリリースを読む限り、Visa+Master 関係を対象として発表していますね。限定して書いていることからすると、Visa+Master のシステムだけが被害にあったのかもしれません。
ただ、この内容で、そもそも、最初に Master だけが報道されたのは不思議(気の毒?)ですねw

で、彼らのやっていた業務を見るとクレジットカードに関係するほとんど全部ですね・・・

アメリカでオンライン・オフラインを問わずクレジットカードを使った場合は、もう漏れているかもしれませんね。
消費者としては、もはや、請求書のチェックしかありませんが、自動引き落としの日本が狙われる可能性は高いかもしれません。

いずれにせよ、カードの所有者としては、全額補償されるのでカード会社からの請求書をちゃんとチェックして届け出れば済むように思います。(ただし、先述のとおり、カード番号は即日無効となることに注意が必要ですが)

一方で、システム構築事業者として次のような題材があるかもしれません。

ぼくも総額100万円の不正利用をされたことがありそのときに、手口を調べたのですが、不正利用者はカードの利用上限額まで引き出すために、小さな金額で少しずつ積み上げて、最後に与信エラーになったところでやめるようです。
それを機械的に効率的に実行するためには、比較的簡単にカード利用できるネットサイトを使うようです。
ネットサイトで物品を購入し、それを売却して現金に換金するということですね。
ぼくの被害の例では、実際には、オンラインの薬品販売サイトでしたが、商品コードと送付先、カード番号など注文に必要な処理を入力画面1ページから1送信で完了できるようになっていました。
お気づきのとおり、このショッピングサイトですと、1つのカード番号を使って繰り返し注文を出すプログラムを簡単に作成できます。

逆に言うと、注文までのページ遷移が簡単だと、カード情報を入手した不正利用者に狙われやすいサイトになることが懸念されます。
もちろん、ページ遷移が複雑すぎると、ユーザの利便性が低下するためそれとの兼ね合いが必要ですが、ぼくが不正利用されたサイトのように、簡単すぎると悪用されやすいと言えます。

クレジットカードの不正利用について、カード所有者は全額補償されます。カード会社は通常これらを保険で支払います。
ただし、不正利用されたショッピングサイトは、カード手数料を徴収されます。場合によっては、不正利用による支払いキャンセル手数料も徴収されることもあります。

悪用された原因が、注文画面のページ遷移が簡単であったことが原因となれば、サイト運営者は、そのシステム構築者に損害賠償を請求するかもしれません。

日本の報道は、例によって、クレジットカードが流出したこと自体とカード所有者保護だけを主として報道しているので、そこに注目しがちですが、実際にはその中間に、カードの不正利用を処理してしまう部分がある点にも注意すべきです。
次のようなサイトが狙われやすいということになります。
 注文入力画面の送信処理の繰り返しを自動化しやすい構造になっている
 1万円~10万くらいで換金しやすい商品を扱っている

日本では、世界では非常識とされている銀行引き落とし制度により、クレジットカード請求も自動引き落としですから、日本人が、この後、不正利用に狙われる可能性は高いかもしれません。
自動引き落としが例外の欧米では換金できるような商品を詐取できる可能性が低いように思うからです。

サイト運営者としては、以下のような対策が考えられます。
 自動化されにくい注文ページ遷移を工夫する
 単位時間あたりの多量注文数を監視する

技術に詳しくないサイト運営者が上記のことを考えるのは大変なので、サイトの構築事業者が提案するのがよいかもしれませんが、火事場泥棒と思われない程度にしないとですな。

とりあえずは、自分のカードの再発行を依頼するかどうか決心しないといけません。。。

6月 21, 2005 |

トラックバック


この記事へのトラックバック一覧です: クレジットカード情報流出(1):

» 国内被害1200万円以上に=カード不正使用相次ぐ-5万6000件超流出 トラックバック 大阪の耳はロバの耳
この間書いた話の続編だが、対岸の火事やなぁって思っていたよ。http://hea [続きを読む]

受信: 2005/06/21 23:17:05

» クレジットカード情報流出(2) トラックバック 砂糖の甘い付箋
[続きを読む]

受信: 2005/07/21 13:50:42

コメント

コメントを書く