カード決済の穴 - 被害だけでなく犯罪の片棒も担がされる
カード利用明細使って不正にチケット入手 会社員を逮捕 (by asahi.com)
という事件が発生したらしい。ネット上ではカード番号と有効期限さえ合えばクレジットカード決済ができるというのが一般的になっている。これがセキュリティとして甘いというのは以前から指摘されているはず。
容疑者は、カード番号を信販会社の現金自動支払機に捨ててあった利用明細書を見て入手したらしい。これはカードの持ち主のミスと言っていい。カード番号が書かれた物を安易に捨ててはいけない。
問題は、有効期限のほうだ。容疑者は「ネット上のゲーム代金清算システム」を利用して、正しい有効期限を割り出したらしいのだ。ゲーム運営会社のシステムが悪いのかもしれないし、他社の決済システムを導入しているならその決済システムが悪いのかもしれない。
いずれにしろ、カードの有効期限を何度間違えても入力を抑止しないというのはおかしい。ユーザIDとパスワードの組み合わせを何度も試せてしまうのと同じだ。容疑者が購入したのはチケットなので、直接そのゲーム会社が被害を受けたわけではなく、ゲーム会社は犯罪の片棒を担がされた事になる。
自社のシステムが悪用されてしまう恐れがないか、様々な観点から今一度確認してみるべきである。
著者について
コメントを残す