今日もどこかで情報漏えい 第3回「クレジットカード情報漏えい顛末記」 | ScanNetSecurity
2023.12.02(土)

今日もどこかで情報漏えい 第3回「クレジットカード情報漏えい顛末記」

 今日もどこかで情報漏えいは起きている。

特集
今日もどこかで情報漏えい 第3回「ScanNetSecurity 発行人のカード情報が流出&不正利用のダブルパンチ ~ 被害の明暗分けた 1 本の名作映画とは?」
  • 今日もどこかで情報漏えい 第3回「ScanNetSecurity 発行人のカード情報が流出&不正利用のダブルパンチ ~ 被害の明暗分けた 1 本の名作映画とは?」
  • 「日本情報漏えい年鑑 2022 CSV 版」クレジットカード流出事案のソート画面
  • オンラインチケット購入一時停止についてのお詫びとお知らせ(UPLINK NEWS)
  • 決済サービス会社における情報流出の案内(UPLINK NEWS)
  • カードご利用内容確認のお願い(株式会社ビューカード)
  • 「ビュー・スイカ」カードご利用内容確認書(株式会社ビューカード)
  • ご利用内容確認に係るお手続きご案内(株式会社ビューカード)

 今日もどこかで情報漏えいは起きている。

 大きいところでは誰もが社名を耳にしたことがある東証プライムの上場企業や政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

 5 月中旬、本誌 ScanNetSecurity の定例編集会議に激震が走った。ほかでもない ScanNetSecurity 発行人高橋潤哉が、カード情報漏えいの被害者となったことを会議の席上告白したからである。しかも ScanNetSecurity が他のニュースサイトより早くインシデント記事として取り上げた、メタップスペイメント社の漏えいに起因する被害だったというところには、何か因縁めいたものすら感じた。

 さまざまな形態がある情報漏えい事故だが、代表的類型のひとつは、やはりクレジットカード情報流出だろう。「多数の人が所持しており」「場合によっては即座に金銭被害が発生し」「不正利用による身に覚えのない請求が来る」等々、社会人ならほぼ誰でも被害をありありと想像できるという点で、極めてわかりやすいからだ。

 ところで読者諸君、または諸君らの知り合いで、クレジットカード情報の漏えい被害に実際に遭った経験を持つ方はいるであろうか? これがいそうでいないのだ。筆者はカード情報漏えい被害に遭ったことは無いし、周りでもそんな話をこれまで聞いたことがない。

 ScanNetSecurity では、不正アクセス等によるクレジットカード情報の漏えい事件を見つけた際は、ほぼ必ず記事として取り上げることとしている。現在制作中の「日本情報漏えい年鑑 2022 CSV 版」を用いて、2021 年に ScanNetSecurity で取り上げたクレジットカード情報に関するインシデントをソートしてみると(下記画像参照)、計 76 件存在した。1 週間に 1.5 件程度、毎月 6 件程度発生している計算になる。ちなみに漏えいしたカード件数はのべ 73 万 2,277 件にのぼる。

 参考までに警察庁によれば 2021 年の交通事故発生件数が 30 万 5,425 件、負傷者数が 36 万 1,768 人だそうである。件数だけで言えば、交通事故による負傷者数のざっと 2 倍程度の被害が発生してはいる訳だ。

 筆者は ScanNetSecurity の記者として情報漏えい事故を追ってすでに 5 年を超える。下手をすると約 5,000 本は情報漏えいに関する記事をこれまで執筆しており、その何割かは直接電話などをして、事故発生当事者にお話をお聞きすることもした。だがいまだに、たったひとつ、自分自身が漏えい被害の当事者になったことが一度もないことはずっと気にかかっていた。このままでは筆者は「戦場に行ったことがない戦場カメラマン」であり「陸(おか)ジャーナリスト」の謗りを免れないのではないか。

 しかし、意図して情報漏えいの被害者になることもまた、容易に叶うことのない願いなのだ。走っているクルマにぶつかるような容易な道が、この領域には存在しないからだ。

 セキュリティが甘そうな EC サイトを必死で探し、少額のクレジットカードの買い物をのべつ幕なしに、手当たり次第に行う。あるいは EC-CUBE などに脆弱性が報告されたら、その情報をもとに、脆弱性が放置されている可能性の高い EC サイトをピックアップしてこれもローラー作戦的に買い物を行い、すべてのショップで「クレジットカード登録」を行う。そんな生活を何年も、ずっと修行のようにストイックに続けたら、いつかピノキオが人間になれるように、あるいは被害当事者になれる日が来るかもしれない。

 そのような、滅多に起こり得ないという意味での「奇跡」がScanNetSecurity 編集部に到来するとは、いったい誰が考えただろうか。「笑いの神様が降りてくる」という表現があるが、まさに「情報漏えいの神」が ScanNetSecurity 発行人高橋に舞い降りたとしか思えない。

 それだけではない。被害のきっかけとなった加盟店の名を聞いたとき筆者は、まるで後頭部を鈍器で殴られたようなショックを受けた。ScanNetSecurity 発行人高橋が被害に遭うきっかけとなったメタップスペイメントを利用していた店舗は、偶然にもほぼ同時期に、筆者もまた利用していた東京都内の素敵な映画館だったからだ。同一の映画館を同じ時期に利用していたにもかかわらず、なぜ筆者は被害に遭っていないのか。まさに目と鼻の先まで青い鳥に接近しながら被害を免れた筆者と、きっちり被害に遭った ScanNetSecurity 発行人高橋。逆の意味になるが「ツイていなかった」筆者と「ツイていた」発行人高橋。本稿は、その「持っていた男」へのインタビュー取材の成果 9,248 文字である。

 発行人高橋と筆者の明暗を分けたものは果たしていったい何だったのか?


《高杉 世界》

編集部おすすめの記事

特集

特集 アクセスランキング

  1. 今日もどこかで情報漏えい 第18回「2023年10月の情報漏えい」千葉県のSDカード“伊達直人”

    今日もどこかで情報漏えい 第18回「2023年10月の情報漏えい」千葉県のSDカード“伊達直人”

  2. ドラマ「ブラッディ・マンデイ」ハッキングシーン製作秘話

    ドラマ「ブラッディ・マンデイ」ハッキングシーン製作秘話

  3. EC事業者の「リアルな実態」と目指すべき姿としての IPA『ECガイドライン』

    EC事業者の「リアルな実態」と目指すべき姿としての IPA『ECガイドライン』

  4. Scan社長インタビュー:軍隊のない国家ニッポンに立ち上げるサイバー脅威インテリジェンスサービス ~ 株式会社サイント 岩井博樹の危機感

  5. 今日もどこかで情報漏えい 第15回「2023年7月の情報漏えい」全件調査 新潟県品質

  6. セキュリティ機関研究:IBM ISS 第1回 歴史

  7. 今日もどこかで情報漏えい 第13回「2023年6月の情報漏えい」無形損害は賠償請求せず

  8. 今日もどこかで情報漏えい 第16回「2023年8月の情報漏えい」クレディセゾン 誰一人取り残さない対応

  9. 【Webアプリケーションのセキュリティ 7】〜 cgiのセキュリティホール 〜

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×