こんにちは、@IT編集部の宮田です。今回はこの前書いた「お客様、当たりです。」の続きを。
あらすじ:Perfumeのファンクラブグッズを買ったらそのECサイトがアタック受けてカード情報漏れました。
その後の対応ですが、まず情報漏えいの報があった2日後にアスマートおよびアミューズから封書によるお知らせが届きました。内容はプレスリリースとほぼ同様です。さらにその翌日、アスマートで利用していた楽天カードから、今回の事件についてのお知らせが届きました。クレジットカード会社からもアラートが届くとは思っていませんでしたので、この点は安心でした。
そもそもクレジットカード情報が漏れた場合でも、ほとんどのクレジットカード会社は保険にて対応をしてくれるはずです。楽天カードの場合は特にネットでの利用を考慮したサービスが多くあり、課金がDBに登録される都度メールが届くような仕組みになっています。実は私が楽天カードを選んだのはそのあたりの安心感でした。
●楽天カード 安心機能
http://card.rakuten.co.jp/protect/
このようなこともあり、実は今回の情報漏えい事件はそんなに大きな事ではないと思っていました。この1文に気がつくまでは。
(2)流出の可能性がある対象者と項目
項目…住所、氏名、電話・FAX番号、性別、生年月日、
「アスマート」サイトへのログインパスワード、メールアドレス、
クレジットカード情報
http://shop.amuse.co.jp/asmart/owabi/index.asp
パスワードそのものが盗まれてるじゃないか!
Security&Trustフォーラムをご覧の方ならばお分かりかと思いますが、通常のECサイトであればパスワードのハッシュを取得し、それを厳重に保管するのが常識かと思いますが、アスマートはパスワードそのものを保存していたようです。よくECサイトでは、パスワードリマインダーのために生パスワードを保存し、かつそれを平文のメールにて送りつけるということが「顧客への利便性のために」行われていると聞きます。まさかアスマートもそうだったとは思いませんでした。
私のパスワード管理方法は、大きく分けて3つくらいのパスワードを、対象によって使い分けています。今回アスマートで利用していたのは最も「ゆるい」パスワードでした(カード番号を登録するのにゆるいパスワードを使っていたというのは実にアレですが……)。もちろんゆるいパスワードを使っているサイトが一番多いわけですが、今回メールアドレスもセットで漏れているわけなので、著名なサイトに対してこのセットをブルートフォースアタック的に攻撃される可能性が考えられます。
問題は、今回流出したメールアドレス/パスワードを用いて、アスマート以外のECサイトで不正な利用があったときのカード会社の対応です。カード会社としては「副次的」な被害になるんですが、保険の範囲になるかどうかは調べておかないといけないと思いました。
ともあれ、現在その「ゆるいパスワード」を利用し、かつカード決済が関係するようなサイト、およびSNS的いじられると困るサイトを優先してパスワード変更を行っているところです。この作業は500円程度では許容できないですねえ。同一のパスワード使ってる自分が悪いんですけれども。
ホント、ダメなECサイトは「ウチは生パスワードを保持しています」って明言してくれないでしょうか。
追記:正確には、ログインパスワードについては現時点で「流出の可能性がある」という状態でした(現在調査中のステータス)。ただ生パスワードを保持していたということではあるようなので、クレジットカード番号流出の対象ではない人もちょっと気をつけておいた方がいいでしょう。