先日のApplePayによる不正利用の話にも関係するが、クレジットカード情報と個人情報共に漏洩するケースがある。
これは当該通販サイトに記載されているものだが、約30万人分の個人情報と約7.2万人分のクレジットカード情報が漏洩したというもの。
個人情報は住所・氏名・性別・電話番号・生年月日などである。
通販サイトとしては販売統計を取りたくて、販売に不要な情報も入力させたのだと思う。
例えば性別や生年月日は、販売に必要な情報ではない。
これらをサーバ内に保存しておいたため、不正アクセスによって流出した。
セキュリティコードを含むカード情報と個人情報があれば、ApplePay詐欺は可能となる可能性が高い。
そしてApplePayにいったん登録されてしまうと、先日書いたようにカードの無効化は役に立たない。
何故これが発覚したかというと、通販サイトにクレジットカード会社から連絡があったからだそうだ。
いち早くニュースリリースを出したのがセゾンカードだったので、もしかしたらセゾンカードが不正を検知したのかも知れない。
不正利用のあった利用者がカード会社に問い合わせ、それらの情報を元に(おそらく統計的に)カードの利用履歴の共通点から、当該通販サイトが怪しいと判断されたのだろう。
通販サイト側は情報漏洩に気づいていなかった。
手口は通販サイトの決済ページに悪意あるコードを仕込み、決済情報その他を随時抜き取ったと思われるとの事だ。
これは2019年頃から行われていたそうなので、実に5年間も気づかなかった事になる。
この通販サイトでは不正アクセスに対しての公表を行ったが、必ずしも公表されるとは限らないし、公表されたからと言って既に情報は漏洩してしまっている。
カード会社によって異なるが、カード会社は不正検知を使用状況などによって変えるそうだ。
セゾンカードがどうかは分からないが、情報の流出したカード番号に対してのチェックを厳しくするなどの措置が執られるのかも知れない。
殆どのクレジットカードでは3Dセキュアが利用可能になっている。
ApplePayでもクレジットカードへの登録は3Dセキュアが有効なので、もし設定していない方がいたら3Dセキュアを設定しておくべきである。
3Dセキュアでもアプリでコードを生成するタイプのものは、アプリが解析されて偽のコードゼネレータが作られるのだとか。
そうした懸念もあり、現在はSMS通知方式が増えている。
コメント