今年、クレジットカード情報の流出事件がかなり多かったように感じた。
そこで、思い当たる範囲の事件を簡単にまとめてみた。

事件概要

にちゃんねる

• 期間：2013年8月26日に情報公開、発生時期は不明
• 規模：32,506人
• 手法：詳細不明
• 公式：http://2ch.tora3.net/20130830.html
  • ニュースサイト：http://gigazine.net/news/20130826-2ch-personally-identifiable-information-leak/
• その他
  • 一部のユーザはセキュリティコードも流出

セブンネットショッピング

• 期間：2013年4月17日から同年7月26日まで
• 規模：最大150,165件
• 手法：なりすまし（IDとパスワードの不正利用）
  • 「いつもの注文」のプログラムに脆弱性があったため（詳細非公開）
• 公式：http://company.7netshopping.jp/2013/10/pc_apology.html

Adobe

• 時期：2013年10月3日に情報公開したが、発生時期は不明
• 規模：3800万人のユーザ
  • 公式発表では290万人だが、後日ニュースサイトにて3800万人と発表
• 手法：詳細不明
• 公式：http://blogs.adobe.com/japan-conversations/%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e3%81%ab%e9%96%a2%e3%81%99%e3%82%8b%e9%87%8d%e8%a6%81%e3%81%aa%e3%81%8a%e7%9f%a5%e3%82%89%e3%81%9b
  • IT media：http://www.itmedia.co.jp/news/articles/1310/30/news044.html

エクスコムグローバル

• 時期：2013年4月23日
• 規模：146,701件のうち109,112件が流出
  • 手法：SQLインジェクション
• 公式：http://www.xcomglobal.co.jp/info/
• その他
  • 3000円の割引優待を補填
  • 保存が禁止されているセキュリティコードまで保存していた

JINS

• 時期：2013年3月6日〜14日
• 規模：当初の発表では最大範囲12,036人だったが、後に2,059人に縮小
• 手法：詳細不明
• 公式：http://www.jins-jp.com/illegal-access/info.pdf
• その他
  • 12,036人に対し、1000円分のQUOカードを送付
  • 業績への損害は軽微であるとの見込み

テレコムスクエア

• 時期：2013年2月5日、4月24日〜30日
• 規模：97,438件
• 手法：詳細不明
  • 当該サーバへの不正アクセスによる侵害ならびにファイルの窃取とあるが…？
• 公式：http://www.telecomsquare.co.jp/info/info20130920cs011.html
• その他
  • カード再発行手数料を負担

所感

原因について詳細な記載がないものは、不正アクセスの方法が不明確なのだと思われる。
「SQLインジェクション」のようにはっきりしていれば対策も取られたと思うが、そうでないものは根本的な原因が残ったままの可能性が高そうな気がする。

意外だったのは、被害額に関する情報がなかったこと。
簡単に思い当たるものを列挙すると、

• 事件の調査依頼料
• クレジットカード再発行
• 金券でのお詫び
• 信用失墜による機会損失 あたりだろうか。

クレジットカード再発行や金券でのお詫びは計算できるけど、機会損失については難しい。
決算の特別損失を見たらある程度予想できるんだろうか？
「情報公開後の株価下落から時価総額下落分を計算」なんてのも面白そうだけど。