2017年03月13日

メルカリはなぜクレジットカード情報を登録する際にセキュリティコードまで登録させるのか? このエントリーをはてなブックマークに追加

GMOペイメントゲートウェイのクレジットカード情報流出事件をツイッターで追っかけていると興味深いツイートに遭遇した。
なんと、メルカリもセキュリティコードをDBに保存しているようである。
メルカリ
「保存しているようである」と記載している理由としては、これが、決済時の画面ではなく「会員情報」の付帯情報として入力する「カード情報」登録画面でセキュリティコードを入力させているからですな。
メルカリ「カード情報」登録画面
「ここではセキュリティコードを入力させるだけで実際は保存してないんですよー」とメルカリの運営スタッフは弁明するのかもしれないけど、少なくとも、何の支払処理もしない状態でセキュリティコード入力させるってちょっと意味わからんですよ。

メルカリのデータベースにカード番号、有効期限、セキュリティコードが会員情報として保存されているとしたら、メルカリを運用するスタッフが勝手にデータベースの中身を見てカード番号、有効期限、セキュリティコードを入手できちゃう可能性あるよなぁ。
これはまったくもって意味わからん仕様ですな。
それとも、会員情報でセキュリティコードを入力させるのは、そのカードが正しいカードかチェックするため、0円でカード決済させるためにセキュリティコードを入力させるとか?
うーむ。今一つよくわからん謎仕様やな。

しかもPCIDSSでは、前の記事にも書いたけど、セキュリティコードを保存しちゃいかんよと書かれてるんだよなー。
PCI DSSのカード会員データとは何ですか?(J-801)
・プライマリーアカウント番号(PAN)
※以下の要素は、PANと共に保存、処理、送信される場合、またはカード会員データ環境(CDE)に存在する場合、カード会員データとして保護される必要があります。
・カード会員名
・有効期限
・サービスコード
(2016.8.5)
機密認証データとは何ですか?(J-802)
・フルトラックデータ(磁気ストライプデータまたはチップ上の同等データ)
・CAV2/CVC2/CVV2/CID
・PIN または PIN ブロック
※これらはオーソリゼーション(承認)後、暗号化していても保存してはいけません。これは環境内にPANがない場合にも当てはまります。(2016.8.5)

GMOペイメントゲートウェイの利用者数よりメルカリの利用者の方が圧倒的に多そう(フリマアプリ「メルカリ」、日米合計5,500万ダウンロード突破)なんだが、これは大丈夫なんだろうか??
今ある情報から考えると、データベースに暗号化されない状態でカード番号、有効期限、セキュリティコードが保存されている可能性は高そうなんだがどーなんやろ?
こんだけ利用者がいるからには利用者の中にはセキュリティに詳しい人もいるだろうから、その人達がこれまで何も声高に叫んでないってことは問題ないんかなぁ。
でも、セキュリティコードを会員情報の一部の情報として保存させるってのはやはりよくわかんないな。
教えて、エライ人。
posted by りょーち | Comment(2) | TrackBack(0) | セキュリティ

2017年03月11日

GMOペイメントゲートウェイのクレジットカード情報はなぜ流出したのか このエントリーをはてなブックマークに追加

報道されている通り、GMOペイメントゲートウェイが3月10日、第三者による不正アクセスにより、クレジットカードの番号や有効期限などを含む71万9830件の情報が流出した可能性があると発表した。GMOペイメントゲートウェイからも以下の報告がされている。情報流出の原因はIPAが3月8日に発表したApache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045):IPA 独立行政法人 情報処理推進機構の脆弱性を利用した不正アクセスにより、悪意のあるプログラムが仕込まれたことによるらしい。

対象となっているサービスと不正アクセスされた可能性のある情報は、以下の通り。
(1) 東京都税 クレジットカードお支払サイトをご利用されたお客様(クレジットカ ード情報が流出した可能性のある総件数:676,290 件)
1 クレジットカード番号・クレジットカード有効期限 61,661 件
2 1に加え、メールアドレス 614,629 件

(2) 独立行政法人住宅金融支援機構 団信特約料クレジットカード払いをご利用されたお客様(クレジットカード情報が流出した可能性のある総件数:43,540 件)
1 クレジットカード番号・クレジットカード有効期限・セキュリティコード・カード払い申込日・住所・氏名・電話番号・生年月日 622 件
2 1に加え、メールアドレス・加入月 27,661 件
3 1に加え、メールアドレス 5,569 件
4 1に加え、加入月 9,688 件

はじめにこのニュースを見たときは「え?セキュリティコード保存してるの?」と脊髄反射的に思ったが、まさかGMOペイメントゲートウェイがセキュリティコード保持するような決済サービス構築してるとは考えにくいよなあ。

PCIDSS | GMOペイメントゲートウェイでは、
▼ PCIDSSに完全準拠した安全なクレジットカード決済
当社のサービスは、JCB・American Express・Discover・MasterCard・VISAの国際クレジットカードブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準PCIDSS Ver3.2 に完全準拠しております。
って書いてあるからなぁ。

PCIDSS3.2の日本語ドキュメントが見つからなかったから安全なカード社会の実現をめざして日本カード情報セキュリティ協議会を参照してみた。
そこにはこんな感じで書かれている。
PCI DSSのカード会員データとは何ですか?(J-801)
・プライマリーアカウント番号(PAN)
※以下の要素は、PANと共に保存、処理、送信される場合、またはカード会員データ環境(CDE)に存在する場合、カード会員データとして保護される必要があります。
・カード会員名
・有効期限
・サービスコード
(2016.8.5)
機密認証データとは何ですか?(J-802)
・フルトラックデータ(磁気ストライプデータまたはチップ上の同等データ)
・CAV2/CVC2/CVV2/CID
・PIN または PIN ブロック
※これらはオーソリゼーション(承認)後、暗号化していても保存してはいけません。これは環境内にPANがない場合にも当てはまります。(2016.8.5)
こういうのを守ってないとPCIDSSに準拠しているとはいえなさそう。
なので、ある程度きちんと審査を受けて準拠しているとお墨付きをいただいているはず。
ちなみに、PCIDSS 3.2の要求仕様についてはこちらに公開されている。
Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.2 April 2016(PDF)
この要求仕様の8ページ目にSensitive Authentication Dataは保存しちゃダメよとやっぱ書いてあるな。

では、なぜ保持していないはずのセキュリティコードまで流出の対象となっているのか?
可能性として考えられるのが、ある期間だけ、入力ページを差し替えられて入力した情報が別のサイトに転送されて流出ってパターンかな。
入力フォームが一定の期間差し替えられて、入力フォームで入力したセキュリティコードが第三者の別のサイトに転送され、情報が流出したパターンがあるよなー。

しかし、だとすると、いつからページが悪意あるページに差し替えられてたかですな。
セキュリティコードが流出したのは独立行政法人住宅金融支援機構 団信特約料クレジットカード払いのサイト。合計で43,540件って一定期間でフォームを差し替えられて搾取されたにしては多すぎないかな?

結局のところ、よくわかってないんだが、43,540件のクレジットカード番号・クレジットカード有効期限・セキュリティコード・カード払い申込日・住所・氏名・電話番号・生年月日情報が流出したとなると、データベースに直接アクセスして抜かれたようにも考えられる。けど、セキュリティコードは保存していないはずという矛盾。

これ、仮にPCIDSSに準拠せずにセキュリティコード保持してた場合はGMOペイメントゲートウェイ的にはどう説明するのだろう?

うーむ。もやもやするねぇ。
なお、「流出した可能性がある」ってことなので、「流出してない」かもしれないってことなんかねぇ??

追加の報道があるかもしれんので注目しとくか。

posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ