本当は綱渡りなのかも 1

 31,2010 20:58
夜にカード会社から自宅に電話が入った。カード情報が盗まれて、不正に使用されている可能性がある。**月**時に、チケットを購入したかどうか?と言う問い合わせ。

カード会社では不信なアクセスを常に監視しているらしいが、某日の深夜に何度もチケット購入のサイトへアクセスがあり、1回目は成功したがその後も何回も購入の手続きを繰り返している不自然動きが続いたので、安全のため停止させたが、本人が全く知らないところで盗まれたカード情報を使った不正な購入が成立してしまっていた。

結局カードは安全のため再発行。カード会社に被害届けを出して実質的な被害は出なかったけれども、不正に使用されて、使われたチケット代金は一旦銀行口座から引き落とされることとなった。

『さてどこでカード情報を盗まれたか?』と思いをめぐらせていたら、やや暫くして某アウトドアのインターネットショップからメールが届いた。「2009年11月1日午前0時00分~2010年1月26日午前6時37分の期間中に購入した方の情報が盗まれた可能性があるので、カードの請求を確認し、被害にあった方はカード会社に相談してください」という内容。どこから情報が漏れたか謎は解けたが、対応が遅すぎた。

ショップからの最終的な回答には【SQLインジェクシ ョン】による攻撃だったと記されていますが、SQLインジェクションによる被害は以前より大手のショップも被害を受けているので、対応が遅れていた事実は否めない。
http://www.ipa.go.jp/security/txt/2008/06outline.html#pdf

カード会社の説明では今後被害に遭わないようにするには
1、信用のおけるサイト以外では使わないこと
2、使うとき以外は持ち出さないこと
3、出来るだけ使わないこと
と言ってましたが、それじゃあカードの利便性は無くなりますね

インターネットもカードも、利便性と言う名の小さな船に乗って、悪しき罠が潜む大嵐の海を漕いでいる様なもの。
常にその危険性は忘れてはならないようです。


以下はショップからの調査報告の抜粋です
------------------------------------------------------------------------
■不正アクセスによる情報漏えいの内容
------------------------------------------------------------------------
窃取された情報は、弊社ウェブサーバー内にありました、オンラインショップ
 の受注データに含まれるクレジットカード情報(番号、有効期限)であること
 が分かりました。

▼情報漏えいによりご迷惑をおかけしましたお客さま
 2009年11月1日午前0時00分~2010年1月26日午前6時37分の期間中、
オンラインショップでクレジットカード決済をご利用になったお客さま。

▼情報項目・件数
 クレジットカード情報(番号、有効期限) … 11,446件
 ※お名前、お電話番号、ご住所、メールアドレスといったクレジットカード情
  報以外の個人情報は窃取されておりません。

▼不正アクセスの日時・攻撃手法
・日時:2010年1月25日午前3時39分~1月26日午前6時37分にかけて断続的に
・攻撃元:海外(中国のIPアドレス)
・攻撃手法:弊社ウェブサーバー内のデータベースに対する「SQLインジェクシ
 ョン」(コンピュータ言語を悪用しデータベースを不正に操作する攻撃方法)
関連記事

Comment 0

Latest Posts