« 電気自動車に初同乗 | トップページ | プラント技術のライセンスビジネス »

2009.09.05

通販サイトがクレジットカード情報をハッキングされた?

読売新聞より「カード情報5万件流出、三菱商事系通販サイトで

三菱商事の子会社「デジタルダイレクト」(東京)が運営するインターネット通販「サクワ ネットショッピング」「ファン スタイル ショッピング」の両サイトから、商品購入客らのクレジットカード番号など個人情報が流出していたことが4日、わかった。

同社はクレジットカード番号5万2000件、メールアドレス2万9000件の流出を確認しており、同日、会員や商品購入客にメールで報告を始めた。

同社によると、6月下旬、提携するカード会社から「カードが勝手に使われたと訴えている会員が複数いる」との指摘を受けた。

外部に依頼して調査したところ、会員情報を管理するサーバーが不正アクセスを受けていた可能性が強まり、先月20日に両サイトを一時閉鎖、経済産業省や日本通信販売協会に報告した。

その後の調査で、昨年7月以降、同じサーバーが中国や韓国などの計49か所からサイバー攻撃を受けていたことが判明した。

こういう事件は、初めてのような気がします。

今までも、情報流出はたくさんありましたが、クレジットカード番号が流出し、それがネットワークを介しての流出、ハッキングの可能性があるというのは初めてではないでしょうか?

事件の詳細が明らかになるのかは、手口の拡大にもなるので何とも言えませんが、それにしても

  1. 6月下旬にカード会社から流出していると指摘される
  2. 外部に調査を依頼して、8月20日にサイトを一時閉鎖
  3. その後の調査で、1年前から攻撃を受けていたことが判明

というのは、ネット時代に必要な「速度」が全く無い、と言えるでしょう。

サクワ ネットショッピングには現在こんな掲示が出ています。

いつも 「saQwaネットショッピング」、 「fun style shopping」をご利用頂き、誠にありがとうございます。

只今、ショップのご利用を中断しております。
お客様にはご迷惑をおかけいたしますが、何卒ご理解いただきますようお願い申し上げます。

尚、お電話でのご注文は通常通り承っておりますので、
お手数をお掛けいたしますが、下記電話番号より、ご注文下さい。

これは一体どういう意味なのだろう?

なんでインターネット通販がダメで、電話による通販だと大丈夫なのか?

インターネット通販側の、受付ページに情報をストックしたままで放置していたのか?
ずいぶんと怪しい様子に感じます。

9月 5, 2009 at 10:13 午前 セキュリティと法学 |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/2299/46124760

この記事へのトラックバック一覧です: 通販サイトがクレジットカード情報をハッキングされた?:

コメント

過去に何度もあったようですね。

http://youzo.cocolog-nifty.com/data/2005/06/post_7786.html
#これは海外の事例のようですが。

http://internet.watch.impress.co.jp/cda/news/2008/06/18/19989.html

という事例もあります。

インターネット通販サイトを閉じたのは、不正アクセスの入り口を閉じたということでしょう。

電話による通販でしたら、インターネットからの攻撃は非常に難しいでしょう。

投稿: 多分役立たず(HNです) | 2009/09/06 21:46:35

多分役立たず(HNです) さん

今回の事件で驚いたのは、本業が通販会社がハッキングでクレジットカード番号を流出させた、という点です。

例えると、戸締まりを忘れて、現金を持ち去られたのが銀行だった、といった感じですね。

人も会社も社会に向けている顔があるわけで、そこが予想外だと事件になるわけです。
人が犬を噛むと事件になる、ですね。

そういう点で見て、この事件はどうよ、と思うわけですね。

逆に言うと、技術的に簡単とは言えませんが、インターネットだからセキュリティが電話通販よりも甘かったでは、社会的には通用しませんよ。
普通に考えると「なら、インターネット通販なんてやるな」となるし、現実に今は止まっている。

つまり、どこかに「これでも良い」という所があって、事件になったわけです。

この「これでも良い」が、通販の本業で起きていることに驚いた。

かなり危なっかしかったのではないのか?
その修正を今やっているから、時間が掛かっているのではないのか?
と強く疑っているのです。

ご紹介いただいた記事でも、サウンドハウスはクレジットカード決済を止められた、と出ていますよね。

必要なのは、こういう責任追及じゃないのかな?
どうもインターネットやセキュリティという話だと、技術的な面が強調されていますが、今やインターネットは社会インフラであり、通販はインターネットであろうが、電話であろうが区別する理由にはならないし、まして通販そのものが店頭販売と何か違う理由も無いわけです。

そこをインターネットだから、と特別視するのは変でしょう。

社会的には、クレジットカード情報流出 → 営業停止 → 倒産 → 刑事責任、といった流れの方が妥当だと思うのです。

投稿: 酔うぞ | 2009/09/07 9:43:10

コメントを書く