Bリーグのクレジットカード決済が再開!どのような対策をしたのかでしょうか!?


8/4にBリーグのチケット、グッズ販売のクレジットカード決済が再開すると発表がありました
中止となっていたのはみなさんご存知かもしれませんが、3月にクレジットカード番号の流出と不正利用(被害総額は379件 約880万円)が発生してしまったからです

実は自分もこの流出の被害(不正利用はされていない)にあってしまい、のちに謝罪の文面とQUOカード500円分が送付されてきました
そしてクレジットカードの番号は、カード会社から不正利用を防ぐため変更ということになりました

そんなことがあったので、今回のこの問題には興味があり、再開のこのタイミングでどんな対策を取られたのか見ていきたいと思います

公式な発表はこちら

クレジットカード情報流出の問題

経緯

下手に説明するよりも公式の発表が一番正確なのでこちらより引用と抜粋
<参考>事象発生からの経緯
3/25(土)1:25:B.LEAGUE公式サイト内のクレジットカード決済機能を使ったサービスでのカード決済機能停止。
3/25(土)4:30:ぴあ・リーグ両社の公式ホームページにお知らせを掲載。あわせて同日行なわれる全試合にぴあスタッフを試合会場に派遣し、問い合わせ対応を実施。
4/10(月):ぴあより、第三者機関調査の中間報告。「Apache Struts2」の脆弱性をついたサイバー攻撃による不正アクセスの痕跡があったことが報告される。
4/16(日):ぴあより、第三者機関の最終報告を受領。当初のシステム発注仕様と異なり、クレジットカード情報やログなどの情報が不適切に委託先のWebサーバー上に保持されていたことが判明。
ファンクラブサイトおよび、B.LEAGUEチケットサイトの開設にあたりシステム開発に使用したウェブアプリケーションを開発するためのソフトウェアフレームワークである「Apache Struts2」の脆弱性を突いたサイバー攻撃を受け、サーバー上に不正なプログラムを設置されたことにより情報流出の可能性があったとの報告。
あわせて流出件数(可能性含む)も共有。
4/25(火):クレジットカード会社、関係省庁等に相談の上、発表後のお客さまへの対応を優先し、今般のタイミングで発表。

簡単にいうとシステムの脆い部分を攻撃されて、保管していたデータを盗まれました
というものです

完全なシステムというものはなくて必ず脆い部分があるのでそれをどうカバーするのかが大事になってきます
(2-3ゾーンディフェンスしてるときに3Pを簡単に打たせないためにチームとしてどうするのかを決めてディフェンスするのと似てるかもしれないです)

今回はこの脆い部分について全然対策が取られておらず情報が流出してしまったようですね
ちなみにこの脆い部分は3/10に国から周知されていたのでBリーグの運用体制はよろしくなかったんでしょうね
(ただBリーグだけでなくて、こんな体制は意外とあります。有名な会社でもITへの理解がないと予算カットで、ひどい体制や構造だったりするもんです。。。)

対策について

こちらも公式のリリースから引用と抜粋させていただきます
●「クレジットカード情報の非保持化(非保存、非処理、非通過)」及び「決済代行会社による処理方式への切り替え導入」とは
B.LEAGUE関連サイト内では、ソニーペイメントサービス株式会社の決済システムによる「e-SCOTT Smart サービス」を利用してクレジットカード情報の非保持化(非保存、非処理、非通過)を実現いたします。(中略)システム改修により、クレジットカード番号等の情報をB.LEAGUEならびにぴあ株式会社は保持しないことで、セキュリティの強化を図ります。
とかなり難しい言葉が並んでますが、超意訳していきます

非保存について

クレジットカードの番号はBリーグでは保持しないで決済代行会社が保持しますよーということです だからBリーグからはクレジットカード情報は漏れないですよ!安心してください!
って意味です
ここは推測ですが、Bリーグは決済代行会社用の会員IDしか持たないと思われます
じゃあ決済代行会社からクレジットカード情報が漏れたらダメじゃんって思うかもしれないですが、決済代行会社は顧客のクレジットカード情報などを保持することを専門としているような会社です

Bリーグが頑張って金庫を作るより、銀行にお金預けたほうが安心ですよね?
それと同じで専門としている会社に預けるほうが安全なのです
(可能性は0ではないです)

またBリーグから決済代行会社用の会員IDがバレたらクレジットカード情報がバレるのかということについて
結論から言うとBリーグ側にパスワードがないので簡単には流出しません
決済代行会社用のIDがあってもパスワードがないと情報は取得されません
パスワードがバレなければクレジットカード情報が盗まれるということはないです
(なので同じパスワードを使い回しをしていると他でばれて使用される可能性があり危険なのです)

非処理 非通過

これはBリーグのサイトでは決済代行会社に登録する際に関与しないですよという意味です
なのでクレジットカード情報を登録を行う際は決済代行会社のページに飛ばされて登録しに行く形式になると思います
こうすることで、クレジットカード情報を登録する際にもBリーグのサイトからは漏れないですよということになります

結論、この対策で十分なのか!?

セキュリティに関しては、どこまでやっても完璧にはなりません
予算にあったできる範囲で事故を起こさないようにすることが大切です
今回に関しては、この対策で進めば問題ないのかなと思います
クレジットカード情報という重要な情報を決済代行会社に渡しているので簡単に盗まれることはないでしょう
それよりも大事なのは、監視体制、運用体制だと思います 外部からの不正なアクセスに気付く体制、システムの脆さ(脆弱性)が発表されたらすぐに修正できる体制を整えておけるようにしておくのが大事だと思います

これから先、Bリーグが日本のメジャースポーツになるためにはITがかなり重要になると思います こういったつまらないことでニュースになるのはやめて欲しいですね

かなり意訳で解説しているので、本当に細かいことを知りたい人(技術的なことなど)は以下のようなページを参考にしてください


以上、「Bリーグのクレジットカード決済が再開!どのような対策をしたのかでしょうか!?」でした♪

0 件のコメント :

コメントを投稿