メインで使ってたクレジットカードの情報が漏洩した

最悪だ。
メインで利用していたクレジットカードの情報が漏洩した。

不正アクセスによるお客様情報流出に関するお知らせとお詫び

しかも、カード番号だけじゃなく、有効期限からセキュリティコード、住所まで紐付いたフルパッケージだ。まったく。セキュリティコードまで一緒に漏洩してるのは、相当まずい。

セキュリティコードは、カードが手元にない人には確認しようのない番号だ。つまり、そのコードが入力ができる＝カードが手元にある、本人であることの確認のためのコードだ。カードを切り替える時も、古いカードと新しいカードでは、セキュリティコードが異なるので、それでカードを持っている本人だということを認証できる。

普通、クレジットカード番号を保管してる場合でも、危険度がかなり高いので、認証にだけ利用したら、後はセキュリティコードは破棄するんじゃないかと思うんだけど、この会社は、これを自社で保存してたのだ。しかも何の暗号化もせずにだ。どう考えても最低限やらないといけないことを手を抜いたのだ。漏洩してても暗号化されてるとか、そういうレベルであればまだ許せるのだけれど、今回はあまりのも杜撰だし酷すぎる。

しかも、ボクはこの会社のサービスは結局使ってない。申し込んだのだが、直前の申込みだったこともあり、一度は受付してもらったのだが、結局、その出発日に目的地向けの端末が用意できないということで、利用できなかったのだ。なのに、カード情報とかは全部保存してて、挙句これだ。勘弁して欲しい。

謝礼として、次回利用の3,000円クーポンを送りますというようなメール案内が届いたが、馬鹿にするのもいい加減にして欲しい。海外に行かなければ利用しないサービスで、利用機会もそんなに多くもないのに、自社のクーポンとか舐めてるのかと。
そもそもこれほど杜撰なシステム、管理をしてる会社のサービスなんてもう二度と使う気もない。

こっちはカード情報漏えいによって、カードの切替が必要になり、そのカードで設定してたもろもろの引き落としを全部変更しなければならず、ものすごい手間である。カードの変更が必要なものは、数えるとかなりの数にのぼる。そのカードの付帯ポイントを貯めるために、せっせと対応している引き落としものは、ほぼすべてそのカードからの引き落としに切り替えていたのだ。

カード変更をオンラインで出来るところはまだましなのだが、郵送での手続きが必要なところも少なくはない。電気、ガス、水道はほぼすべて郵送だ。エッソモービルの「スピードパス」は、スタッフのいるガソリンスタンドへ行かんと駄目っぽい。とはゆえ、いずれにせよガス入れるのに、ガソリンスタンドに行くからいいや、と思ってたのだけど、今日、いつも使ってるガソリンスタンドへ行ってみたら、係の人らしき人が誰もおらず、カード変更手続きはできなかった。やれやれだ。

今回のは良い教訓になった。１つはあまり１つのカードに支払いを集中させないほうが良いということだ。

少なくとも、定期的な引き落としや、またネットでも比較的大手で安心してカード情報を預けられるところ（AmazonとかAppleとか。実際はどうかはわからないけど、さすがに、今回のように何の手だてもないカード情報がまるまる漏洩することはないだろう）以外は、最悪漏洩しても大丈夫なようにしておく。たとえば、「楽天カード: 楽天バーチャルプリペイドカードご利用ガイド」こういうものを利用するとかだ。

ECサイトの構築や運営の敷居は数年前に較べれば随分と下がったんだろうと思う。でも、それがこの手の事故を増やしている理由なんだろう。企業はできるかぎりお金をかけたくないから、セキュリティ面とかを蔑ろにするケースは多々ある。第三者機関での検査などは、絶対に受けたほうがいいに違いないが、そんなものに金をかけたくないというのが本音だろう。
カードなんかは、決済代行業者を使えば、まだ自前でカード情報を管理するというリスクは免れるんでまだましそうだが、結局、設計や開発のレベルが低いと、決済代行業者を使ってても、その手前でクロスサイトスクリプティングを仕込まれたり、ミドルウェアの脆弱性を付かれたりすれば一緒だ。
今回のケースは自社内で開発してたのか、外部の業者に委託してたのか、よくわからないけれど、どちらにしてもあまりにもカード情報を取り扱うとか管理するということの危険性について意識が低すぎるということは言うまでもない。いいかげん企業は、自分たちのサービスがいかに危険なものなのか、それへの対応や対処にはきちんとしたスキルや経験、ノウハウが必要なのかということに気付くべきだ。そして、そういうスキルや経験、ノウハウは安くはないということも。