ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

「クレカ情報流出=データを保存していた」とは限らない スイパラ情報漏えいから学ぶ決済の安全性(1/2 ページ)

» 2022年06月13日 21時00分 公開
[谷井将人ITmedia]

 カフェ「スイーツパラダイス」(運営:井上商事)のECサイトから、セキュリティコード含むクレジットクレカ情報一式が7000件以上流出した――この記事に対して、Twitterなどでは「保存してはいけないはずのクレカ情報を保存していたのか?」という反応が見られた。

photo 決済システムの改ざんで約7000人分のクレカ情報が漏洩した可能性(井上商事のプレスリリースより)

 しかし、速報記事にもある通り、井上商事はクレカ情報を保存していなかったとしている。それでもなお情報漏えいが起きたのはなぜか。ITmedia NEWSは同件について情報処理推進機構(IPA)に尋ねた。

 情報セキュリティ対策としてクレカ情報を保持しない「非保持化」は進んでいるが、攻撃者が保存していないデータを直接盗み出す手口も存在するという。

「不正アクセスで情報漏えい」にもさまざま

 不正アクセスで情報漏えいというと、サーバなどに保存していた情報を、悪意の第三者が不正アクセスにより盗み出したかのように聞こえるかもしれない。

 しかし、同社は「不正アクセスにより、ペイメントサービスの改ざんが行われた」のが情報漏えいの原因としている。

 井上商事に追加取材したところ「(改ざんにより)決済時にクレカ情報が外部へ直接転送される状態になっていた」と説明した。

 不正アクセスにより決済システムを改ざんされ、情報漏えいにつながったという例は他にも、日清紡グループ宇都宮ケーブルテレビ(宇都宮市)、女性服販売サイト化粧品販売サイトなどで報告があった。

IPA「クレカ情報非保持化でも安心とはいかない」

 IPAは「個別の案件については答えられない」とした上で、一般論として「クレカ情報を非保持化しているからといって安心とはいかない」と説明する。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.