ちょっと情報セキュリティを調べてた際に、参考にしたサイトがこちら。
このサイト、日次で情報を更新しているようで、毎日毎日、セキュリティ事故がアップされます。
しかし、ほんと驚きです。ダダ漏れです。正直こんなに事故っているとは知りませんでした。事故数が多すぎてちょっとやそっとの事故では、メディアも報道しないのかとも思います。
クレジットカード情報もダダ漏れ
事故の中には、個人情報漏えいがほとんどで、クレジットカード情報も多数漏れてます。
ぱっとみ毎月数万人漏れているんじゃないかと、しかもセキュリティコード付きで。セキュリティコードは物理的なカードの裏面に書いてある数字で、この数字は実カードがないとわからないので、セキュリティを確保するのに多くのサイトで利用されています。
しかし、このセキュリティコードまで抜かれてしまうと、「実カードがなければセキュリティコード入れられないので、不正はできません。」なんてことは言えず、いろんなサイトで不正利用が可能になりそうです。一体どのへんが「セキュリティコード」なのかよくわからなくなってきます。
誰が損するのか
ダダ漏れる個人情報ですが、漏れると誰が損するのかというと、そりゃ一番損害を被るのは利用者です。
カード利用者は、たとえ不正利用されたとしても、それを申告さえすれば、請求はされません。いい気はしませんが、お金の流出は何とか防げます。(カード会社に申告しないと引き落とされてしまうので、毎月の請求書のチェックはお忘れなく。)
ただ、カード番号の変更に手間はかかりますし、それ以上に住所や電話番号まで漏れてしまうと、そりゃいろんなトラブルに巻き込まれる可能性はあるんで、本当いい迷惑です。
情報を漏らした企業も当然痛い目にあいます。カード情報保持者に対してお詫びとして見舞金の支払いがあります。一件500円程度でも、1万件の漏えいで500万円です。また、そしてカード会社に対してカード再発行のコストを負担したります。
でも、無関係なのにばっちりを食うという意味では、漏えいと全く関係ないECサイト企業も結構な被害者です。
セキュリティコードでも安全ではない?
一般的に、ECサイト上で不正なクレジットカードを利用して商品を手に入れた場合、その代金は本当のカード利用者には請求できません。では、カード会社が補てんしてくれるかといえば、それも基本ありません。(例外的にカード会社が提供する強度なセキュリティ認証を導入すると補てんされる場合もあるらしいですが。)
結局そのECサイトの運営側がその代金を支払うことになります。商品は取られたものの、お金はとりっぱぐれることになります。
(実店舗の場合は直接サインをもらえば、その分はカード会社が補てんしてくれる模様)
ですので、企業としては、できるだけ不正利用がないようにWEBでのクレジットカード決済の際に様々な認証を行うようにします。しかしながら、あまり複雑にしすぎるとユーザーの利便性が損なわれるので、そのバランスを考えながら、認証の仕組みを導入します。
そういった中で、セキュリティコードは比較的入力も容易で、カードの実物がないと入力できないのでセキュリティ強度も高いとか言われていた方法です。
でも、こんな、毎月数万人もセキュリティーコード付きクレジット情報が漏れるようだと意味ないですよね、ほんと。