2013年 クレジットカード情報流出事件

今年、クレジットカード情報の流出事件がかなり多かったように感じた。
そこで、思い当たる範囲の事件を簡単にまとめてみた。

事件概要

にちゃんねる

セブンネットショッピング

  • 期間:2013年4月17日から同年7月26日まで
  • 規模:最大150,165件
  • 手法:なりすまし(IDとパスワードの不正利用)
    • 「いつもの注文」のプログラムに脆弱性があったため(詳細非公開)
  • 公式:http://company.7netshopping.jp/2013/10/pc_apology.html

Adobe

エクスコムグローバル

  • 時期:2013年4月23日
  • 規模:146,701件のうち109,112件が流出
    • 手法:SQLインジェクション
  • 公式:http://www.xcomglobal.co.jp/info/
  • その他
    • 3000円の割引優待を補填
    • 保存が禁止されているセキュリティコードまで保存していた

JINS

  • 時期:2013年3月6日〜14日
  • 規模:当初の発表では最大範囲12,036人だったが、後に2,059人に縮小
  • 手法:詳細不明
  • 公式:http://www.jins-jp.com/illegal-access/info.pdf
  • その他
    • 12,036人に対し、1000円分のQUOカードを送付
    • 業績への損害は軽微であるとの見込み

テレコムスクエア

  • 時期:2013年2月5日、4月24日〜30日
  • 規模:97,438件
  • 手法:詳細不明
    • 当該サーバへの不正アクセスによる侵害ならびにファイルの窃取とあるが…?
  • 公式:http://www.telecomsquare.co.jp/info/info20130920cs011.html
  • その他
    • カード再発行手数料を負担

所感

原因について詳細な記載がないものは、不正アクセスの方法が不明確なのだと思われる。
「SQLインジェクション」のようにはっきりしていれば対策も取られたと思うが、そうでないものは根本的な原因が残ったままの可能性が高そうな気がする。

意外だったのは、被害額に関する情報がなかったこと。
簡単に思い当たるものを列挙すると、 + 事件の調査依頼料 + クレジットカード再発行 + 金券でのお詫び + 信用失墜による機会損失 あたりだろうか。

クレジットカード再発行や金券でのお詫びは計算できるけど、機会損失については難しい。
決算の特別損失を見たらある程度予想できるんだろうか?
「情報公開後の株価下落から時価総額下落分を計算」なんてのも面白そうだけど。

関連記事


  1. Spring Security + ThymeleafでAjaxリクエストにCSRF対策トークンを適用
  2. 一部のパスだけSpring SecurityのCSRF対策を無効化する
  3. SRIによってCDN上のスクリプト改ざんを検知する
  4. OpenSSL+パスワードでファイルの暗号化/復号処理
  5. TrueCryptのレビューレポートを読んでみた
  6. Google ChromeのSSL/TLS暗号化アルゴリズム設定
  7. printf(str)のstrにユーザ入力値を指定してはいけない

tosi avatar
tosi
Web Application Engineer, Java / Spring / Azure / GCP
comments powered by Disqus