今日もどこかで情報漏えい 第3回「クレジットカード情報漏えい顛末記」 | ScanNetSecurity
2023.06.02(金)

今日もどこかで情報漏えい 第3回「クレジットカード情報漏えい顛末記」

 今日もどこかで情報漏えいは起きている。

特集 コラム
今日もどこかで情報漏えい 第3回「ScanNetSecurity 発行人のカード情報が流出&不正利用のダブルパンチ ~ 被害の明暗分けた 1 本の名作映画とは?」
今日もどこかで情報漏えい 第3回「ScanNetSecurity 発行人のカード情報が流出&不正利用のダブルパンチ ~ 被害の明暗分けた 1 本の名作映画とは?」 全 7 枚 拡大写真

 今日もどこかで情報漏えいは起きている。

 大きいところでは誰もが社名を耳にしたことがある東証プライムの上場企業や政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

 5 月中旬、本誌 ScanNetSecurity の定例編集会議に激震が走った。ほかでもない ScanNetSecurity 発行人高橋潤哉が、カード情報漏えいの被害者となったことを会議の席上告白したからである。しかも ScanNetSecurity が他のニュースサイトより早くインシデント記事として取り上げた、メタップスペイメント社の漏えいに起因する被害だったというところには、何か因縁めいたものすら感じた。

 さまざまな形態がある情報漏えい事故だが、代表的類型のひとつは、やはりクレジットカード情報流出だろう。「多数の人が所持しており」「場合によっては即座に金銭被害が発生し」「不正利用による身に覚えのない請求が来る」等々、社会人ならほぼ誰でも被害をありありと想像できるという点で、極めてわかりやすいからだ。

 ところで読者諸君、または諸君らの知り合いで、クレジットカード情報の漏えい被害に実際に遭った経験を持つ方はいるであろうか? これがいそうでいないのだ。筆者はカード情報漏えい被害に遭ったことは無いし、周りでもそんな話をこれまで聞いたことがない。

 ScanNetSecurity では、不正アクセス等によるクレジットカード情報の漏えい事件を見つけた際は、ほぼ必ず記事として取り上げることとしている。現在制作中の「日本情報漏えい年鑑 2022 CSV 版」を用いて、2021 年に ScanNetSecurity で取り上げたクレジットカード情報に関するインシデントをソートしてみると(下記画像参照)、計 76 件存在した。1 週間に 1.5 件程度、毎月 6 件程度発生している計算になる。ちなみに漏えいしたカード件数はのべ 73 万 2,277 件にのぼる。

 参考までに警察庁によれば 2021 年の交通事故発生件数が 30 万 5,425 件、負傷者数が 36 万 1,768 人だそうである。件数だけで言えば、交通事故による負傷者数のざっと 2 倍程度の被害が発生してはいる訳だ。

 筆者は ScanNetSecurity の記者として情報漏えい事故を追ってすでに 5 年を超える。下手をすると約 5,000 本は情報漏えいに関する記事をこれまで執筆しており、その何割かは直接電話などをして、事故発生当事者にお話をお聞きすることもした。だがいまだに、たったひとつ、自分自身が漏えい被害の当事者になったことが一度もないことはずっと気にかかっていた。このままでは筆者は「戦場に行ったことがない戦場カメラマン」であり「陸(おか)ジャーナリスト」の謗りを免れないのではないか。

 しかし、意図して情報漏えいの被害者になることもまた、容易に叶うことのない願いなのだ。走っているクルマにぶつかるような容易な道が、この領域には存在しないからだ。

 セキュリティが甘そうな EC サイトを必死で探し、少額のクレジットカードの買い物をのべつ幕なしに、手当たり次第に行う。あるいは EC-CUBE などに脆弱性が報告されたら、その情報をもとに、脆弱性が放置されている可能性の高い EC サイトをピックアップしてこれもローラー作戦的に買い物を行い、すべてのショップで「クレジットカード登録」を行う。そんな生活を何年も、ずっと修行のようにストイックに続けたら、いつかピノキオが人間になれるように、あるいは被害当事者になれる日が来るかもしれない。

 そのような、滅多に起こり得ないという意味での「奇跡」がScanNetSecurity 編集部に到来するとは、いったい誰が考えただろうか。「笑いの神様が降りてくる」という表現があるが、まさに「情報漏えいの神」が ScanNetSecurity 発行人高橋に舞い降りたとしか思えない。

 それだけではない。被害のきっかけとなった加盟店の名を聞いたとき筆者は、まるで後頭部を鈍器で殴られたようなショックを受けた。ScanNetSecurity 発行人高橋が被害に遭うきっかけとなったメタップスペイメントを利用していた店舗は、偶然にもほぼ同時期に、筆者もまた利用していた東京都内の素敵な映画館だったからだ。同一の映画館を同じ時期に利用していたにもかかわらず、なぜ筆者は被害に遭っていないのか。まさに目と鼻の先まで青い鳥に接近しながら被害を免れた筆者と、きっちり被害に遭った ScanNetSecurity 発行人高橋。逆の意味になるが「ツイていなかった」筆者と「ツイていた」発行人高橋。本稿は、その「持っていた男」へのインタビュー取材の成果 9,248 文字である。

 発行人高橋と筆者の明暗を分けたものは果たしていったい何だったのか?


《高杉 世界》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. 厚生労働省のサーバを経由し約10万件の迷惑メールを送信

    厚生労働省のサーバを経由し約10万件の迷惑メールを送信

  2. サイバー攻撃に便乗 勤務先脅迫 セキュリティアナリスト逮捕

    サイバー攻撃に便乗 勤務先脅迫 セキュリティアナリスト逮捕

  3. セゾン情報システムズのデータ連携ソフト「DataSpider Servista」にハードコードされた暗号鍵の使用の脆弱性

    セゾン情報システムズのデータ連携ソフト「DataSpider Servista」にハードコードされた暗号鍵の使用の脆弱性

  4. OSSのノーコード・ローコード開発ツール「プリザンター」にXSSの脆弱性

    OSSのノーコード・ローコード開発ツール「プリザンター」にXSSの脆弱性

  5. ランサムウェア身代金 払い続けた世界の末路 ~ ウィズセキュアが犯罪のプロ化警鐘

    ランサムウェア身代金 払い続けた世界の末路 ~ ウィズセキュアが犯罪のプロ化警鐘

ランキングをもっと見る
PageTop