カード番号の閲覧はない、ピーチ・ジョンが発表

[垣内郁栄，＠IT]

　携帯電話向けショッピングサイトで他人の注文履歴が表示可能になっていたピーチ・ジョンと、仙台市のシステム開発会社 ディー・エム・ピーは2月12日、16ケタのクレジットカード番号すべてが他人に閲覧された可能性はないと発表した。プログラムの挙動やアクセスログを解析することで判明した。

　ピーチ・ジョンは8日、クレジットカード番号の下4ケタが閲覧された顧客が最大645人いて、うち70件はカード番号すべてが表示された可能性がある、と発表していた。

　閲覧可能になっていたのは、auまたはVodafoneを使ってサイトにアクセスしたユーザーの注文履歴の氏名、郵便番号、住所、電話番号、携帯電話番号、PCのメールアドレス、携帯電話のメールアドレス、購入商品番号、注文履歴、セキュリティアンサーの質問と、クレジットカード会社名、カード番号の下4ケタ、カードの有効期限。ピーチ・ジョンはクレジットカード番号以外についても、閲覧された件数を調査している。

　ピーチ・ジョンはまた、他人の注文履歴が表示される不具合が発生した原因を「プログラムのバージョンアップ、セキュリティパッチの適用で、ユーザー個人の情報を個別に保持するセッション機能に不具合が発生したため」と発表した。

　同社によると、ショッピングサイトのプログラムはセッション管理に携帯電話ブラウザのクッキーを利用。しかし、プログラムミスで、クッキーの仕様であるRFC2109の「10.1.2 Expires と Max-Age」に準拠しない形式で、クッキーの有効期限を出力してしまった。そのためセッションが正しく削除されずに、他人の注文履歴が表示されたという。