公開年月日:2016年06月16日
インドでクレジットカードを使うとほぼ確実に情報が流出する?
先日、南アフリカで流出した情報が元になったと思われる偽造クレジットカードによって、日本で14億円を超えるお金が不正に引き出されて大きなニュースとなっていました。
今度はインドで一部の企業が使っているネット決済のシステムに脆弱性が発見されたことが報じられています。それによりカードの情報が盗まれたりする可能性があるそうです。
このような犯罪は完全に防ぐことが難しいと思われ、カード利用者としては事後対応を速やかに行うことが最善策と考えられます。
インドの一部の企業が採用しているネット決済のシステムに脆弱性が発見され、カード情報を盗まれたり、ユーザーの取引履歴が盗まれたりする可能性が明らかになりました。ソフトウェアやシステムのバグを発見・開示し、企業のバグ修復を手助けしてその内容を公開することを目的としたブログ・Fallible Blogがその内容を公開しています。
PCI DSSのレベル1で保証されているはずのところから情報流出
2004年12月にVISA、マスターカード、American Expressなど国際的なクレジットカードサービスを提供する会社が共同で策定したPCI DSS(Payment Card Industry Data Security Standard)という、クレジットカード業界のセキュリティ基準があります。
私は前職がレンタルサーバ会社でしたが、クレジットカード関連のサービスを提供予定だった会社からPCI DSSの基準を満たすよう要求されて、担当者がかなり苦労していました。
ホームページなどのデータ設置場所になっているレンタルサーバは、非常に安全な場所に設置されています。一箇所のデータセンタで数万社を超える企業のデータが保存されていることも珍しくはありません。
日本では安全上の理由からデータセンタの正確な場所は公開されておらず、場所がわかったとしても二重、三重のセキュリティが用意されているため、部外者が侵入することは極めて困難です。
元々がかなり厳しい条件下で管理されているデータセンタですが、PCI DSSの基準に照らし合わせるとそのようなことはあたりまえで、更に厳しい規則に従わなくてはなりません。
引用元の記事によれば、PCI DSSのレベル1で保証されているペイメントゲートウェイからクレジットカードの情報が流出しているとのことで、事態はかなり深刻であると考えられます。
カードの不正利用に対しては事後対応に力を入れるべし
南アフリカの情報流出が発端となった事件のように、今度はこのインドの件が元で再び日本が標的にされる可能性もあります。
システムの脆弱性はなくならず、それを利用した犯罪も後を絶ちません。では一般のクレジットカード利用者はどうすればよいでしょうか。
万が一の犯罪を未然に防げないのであれば、できることは事後対応だけです。クレジットカードの不正利用など、犯罪の被害を受けたとわかったときには速やかにクレジットカード会社や警察に届けを出しましょう。