チケット販売大手のぴあは25日、同社がプラットフォームを提供し運営を受託しているプロバスケットボール・Bリーグのチケットサイトとファンクラブのサイトがサイバー攻撃による不正アクセスを受け、個人情報約15万件が流出した可能性があると発表した。約3万2千件のクレジットカード情報が含まれ、21日時点でカードの不正使用が197件、計約630万円分確認された。ぴあはすでに警視庁に相談したとしている。同
11月27日から12月15日の間に米国内の店舗で買い物客が使ったクレジットカードやデビットカード約4000万枚の情報が不正アクセスされた可能性があるという。 米小売大手のTargetから顧客のクレジットカード情報が流出したと伝えられた問題で、Targetは12月19日、米国内の店舗で買い物客が使ったカード約4000万枚の情報が不正アクセスされた可能性があると発表した。 Targetによると、不正アクセスされた形跡があるのは11月27日から12月15日の間に米国内の店舗で使われたクレジットカードやデビットカード約4000万枚の情報。カード保持者の氏名、カード番号、使用期限、3桁のセキュリティコードの流出が疑われるという。 発覚後は直ちに司法当局や金融機関に通報して対応に当たり、問題は突き止めて解決したと説明している。また、外部の調査会社の協力も得て今回の事件について徹底調査を進め、再発防止策
2013年10月1日より米国・ワシントンD.C.にて開催された「VISA Global Security Summit 2013」では、「金銭」を直接扱う業界におけるセキュリティの現状を共有し、各プレイヤーが何をすべきかのヒントが提示された。 2013年10月1日より米国・ワシントンD.C.にて「VISA Global Security Summit 2013」が開催された。ペイメントカードに関係する加盟店やカード発行会社を対象としたイベントで、「金銭」を直接扱う業界におけるセキュリティの現状を共有し、各プレイヤーが何をすべきかを考えるセッションが多数行われた。 決済ネットワーク大手であるVISAは、カードブランドとして著名な企業であり、コンシューマーにもなじみ深いものだろう。 クレジットカード、デビットカードなどの取引の中身は、加盟店や利用者、カード発行会社との「電文の交換」である。世界
エクスコムグローバルは2013年5月27日、同社が運営する海外用モバイルWi-Fiルーターレンタルサービス「GLOBALDATA」(写真1)と海外用携帯レンタルサービス「Global Cellular」(写真2)のWebサイトから、10万9112件のクレジットカード情報が流出したと発表した。外部からSQL文を入力される「SQLインジェクション」と呼ぶ攻撃手法が使用されたとしている。 流出したのは(1)カード名義人名、(2)カード番号、(3)カード有効期限、(4)セキュリティコード、(5)申込者住所。サーバーには最大14万6701件のクレジットカード情報が記録されていた。漏洩対象は2011年3月7日から2013年4月23日に申し込んだ顧客の情報という。 エクスコムグローバルによれば4月23日17時頃、契約先である決済代行会社よりクレジットカード情報の流出懸念について連絡があり、同日、Webサ
エクスコムグローバル、SQLインジェクションで約11万件のクレカ情報流出:サーバに保持のセキュリティコードなども流出 エクスコムグローバルは5月27日、同社WebサイトがSQLインジェクション攻撃を受け、最大10万9112件のクレジットカード情報やセキュリティコードが流出したことを明らかにした。 海外旅行者向けのモバイルルータレンタルサービスを提供しているエクスコムグローバルは5月27日、同社WebサイトがSQLインジェクション攻撃を受け、最大10万9112件のクレジットカード情報やセキュリティコードが流出したことを明らかにした。 情報流出が明らかになったのは4月23日17時ごろ。決済代行会社からクレジットカード情報が流出している可能性があると連絡が入ったことを受け、調査を進めてきたという。 ログ調査の結果、同社が運営する「GLOBALDATA」と「Global Cellular」のWeb
眼鏡ブランド「JINS」の通販サイトからクレジットカード情報が流出した事件で、サイトを運営するジェイアイエヌは4月9日、カード情報が流出した可能性のある顧客数は最大2059人だったと発表した。当初は最大1万2036人としていたが、その後の調査で狭まったという。 カード情報漏えい調査などを手がけるPayment Card Forensics(PCF)が委託を受けて調査したところ、3月6日にバックドアプログラムが設置され、第三者のサーバにクレジットカード情報が転送されるようアプリケーションプログラムの改ざんが行われた形跡を確認。当初は、2月6日~3月14日にカード決済した顧客1万2036人の情報が流出した可能性があるとしていたが、3月6日~14日に決済した2059人に狭まった。 1万2036人の顧客に対しては1000円分のQUOカードを順次、送付しているほか、カードの再発行手数料を負担する。
ジェイアイエヌは2013年4月9日、同社のJINSオンラインショップへの不正アクセス(関連記事1、関連記事2)についての中間報告を発表した。当初、クレジットカード情報が流出した可能性がある顧客を1万2036人としていたが、2059人にとどまることが判明したという。ただし、1万2036人に対し1000円分のQUOカードを送付するとともに、クレジットカードの再発行手数料を負担する。 同社によれば、専門調査会社によるサーバーのログ解析により、2013年3月6日にバックドアプログラムが設置され、第三者のサーバーにクレジットカード情報が転送されるようにプログラムが改ざんされた痕跡が確認されたという。当初、情報流出の可能性のある最大範囲として2月6日から3月14日までに同社オンラインショップで購入手続きを行った1万2036人としていたが、3月6日から3月14日までに購入した2059人に絞られることが判
2012/04/20 ビザ・ワールドワイドは4月19日、同社のセキュリティに対する取り組みについて説明会を開催した。米ビザのチーフ・エンタープライズ・リスク・オフィサーを務めるエレン・リッチー氏は、「予防」「保護」、それに犯罪が起こったときの「対策」という3つの多層的な取り組みを通じて、信頼を高めていきたいと述べた。 予防のステージで取っている対策には、ICチップを搭載したEMV仕様のカードの普及と、それを利用し、決済のたびに異なるコードを生成して認証を行うダイナミックデータ認証といったものが挙げられる。 保護の段階で大きな役割を果たすのは、加盟店でのセキュリティ対策だ。各加盟店でカード情報が盗まれないように暗号化/トークナイゼーションを行ったり、はじめからデータを保管しないようにする「データ非保持」といった取り組みを推進している。また、どうしてもカード情報を保管せざるを得ない場合、「PC
1. 法律・規制・基準に対するセキュリティ・コンプライアンス 第1回では、「特権IDとパスワードの効果的な運用」について説明しました。今回は、「暗号化された管理者アクセスの監査」と題し、「(セキュリティの保護のために)暗号化されている通信内容に対しては、どのようにして監査証跡を取得すればよいのか」を解説します。 個人情報保護法、PCI DSS(クレジット・カード・データ・セキュリティ標準)、BIS規制(Basel II Accord)など、情報セキュリティの保護を目的とする法律や基準が浸透してきています。これらの法律や基準は、個人データやカード情報などの重要な情報を含む通信については、暗号化することを義務づけています。このため、暗号化通信の利用は、当然のこととなりつつあります。 また、内部統制(主にJ-SOX)や会計監査などにおいては、プロセスおよびデータの完全性を示す証跡を提示することが
2010/10/29 PCI SSC(Payment Card Industry Security Standards Council)は米国時間の10月28日、セキュリティ標準の新バージョン「Payment Card Industry Data Security Standard(PCI DSS)2.0」を公表した。 PCI DSSは、クレジットカード会員データの保護を目的に、クレジット業界が定めたセキュリティ基準だ。6つのカテゴリ、12の要件から構成され、取るべき対策を具体的かつ明確に定めていることから、クレジット業界に限らず、一般的な企業や組織のセキュリティ基準としても採用されている。 新バージョンは、既存のバージョン1.2.1に比べ「大きな要求事項を新たに盛り込むものではない」(PCI SSCのプレスリリース)。PCI DSSに対する理解および導入を促すため、表現および内容をより明
情報セキュリティの悩みを共有、 日本CISO協会が発足:クラウド環境やiPad、Twitterに対応できる最新の対策も紹介 NANAROQ、日本ヒューレット・パッカード、日本オラクル、BSIグループジャパンの4社は7月14日、日本CISO協会を設立すると発表した。企業のセキュリティ責任者を対象に、ITセキュリティ、ITガバナンス、コンプライアンス、事業継続などの最新情報を提供するほか、交流会や部会など会員同士の情報交換の場を設ける。これにより各企業のセキュリティ対策立案や方針決定などを支援するという。2010年9月1日に第1回総会を開催する。 クラウドサービスをはじめ、ビジネスに寄与する技術・サービスが日々進歩している一方で、iPadやスマートフォン、Twitterなど情報を媒介する新たなツールも続々と登場している。こうした中、企業内・企業間の情報セキュリティ管理は事業継続のうえでますます
2010/01/19 RSAセキュリティは1月19日、「PCI DSS準拠支援サービス」の提供を開始した。同社が2009年11月より開始している、RSA プロフェッショナルサービスの1メニューとして提供し、料金は個別見積もりとなる。 PCI DSSはPayment Card Industry Data Security Standardの略で、会員情報の保護を目的にクレジットカード業界がまとめたセキュリティ対策基準だ。オンライン犯罪などからクレジットカード情報を守り、安全に決済を行えるようにするため、ファイアウォールやウイルス対策ソフトの導入、アクセス制御手法の導入、ネットワークの監視などさまざまな側面から対策を行うよう、具体的な手順を定めている。 RSAセキュリティのPCI DSS準拠支援サービスは、現状分析とセキュリティ改善計画の提示、ソリューションの設計と実装、実装後の定期的なスキャ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます NTTデータは8月25日、運営するカード決済総合ネットワーク「CAFIS」をはじめとするカード決済主要システムすべてが、クレジットカード業界のセキュリティ基準「PCI DSS」(Payment Card Industry Data Security Standard)の認証を取得したことを発表した。 PCI DSSの認証を受けたのはCAFISのほか、ネット決済サービス「BlueGate」、クレジットデータ伝送サービス「CDS」、多機能決済サービス「INFOX」、小売り業者向けカード決済ソリューション「PastelPort」の計5つ。CAFISは2006年3月から認証取得への取り組みを始めており、2008年2月に取得。2008年11月には
前回は、データベースシステムの安定稼働を実現するためのデータベースシステムの監視について説明しました。今回は、データそのものを守るためのデータベースセキュリティについて、その必要性や種類を考えるとともに、データベースセキュリティの中心となる「監査」のポイントについて説明します。【更新版】 情報セキュリティの重要性の高まり 情報システムにおけるセキュリティの重要性は、2000年以降に相次いだ個人情報漏えい事件や、米国で発生した不正会計による大企業の破綻などを契機として高まり始めました。 日本国内でも2005年に個人情報保護法が施行され、2008年には金融商品取引法の改正で「上場企業などは事業年度ごとに財務計算に関する書類などの適正性を確保するための内部統制報告書を提出しなければならない」と規定されました。 さらに、主要クレジットカード会社が策定したクレジット業界におけるグローバルセキュリティ
第6回 PCI DSS対応の難しさは「あいまいさ」? 川島 祐樹 NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP 2009/8/7 この連載でも「PCI DSSは非常に具体的な要件です」と述べてきましたが、まだまだあいまいな判断ができるところもあります。それはPCI DSSまだまだ「若い」からだともいえます。まずは動き続けるPCI DSSの現状を紹介しましょう(編集部) PCI DSSは動き続ける 第5回「カード情報システムでのIIS、QSAはどう見る?」から数カ月空いてしまいましたことをお詫びいたします。この間、さまざまな出来事がありました。個人的なことや、どちらかというとQSAやPA-QSAなど審査をする立場での出来事もありますが、どのようなことが起きているか雰囲気を知っていただくのも面白いかと思いますので、駆け足で振り返ってみたいと思います。 ●P
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
2009/04/21 「日本カード情報セキュリティ協議会(Japan Card Data Security Consortium:略称JCDSC)」が4月21日、正式に発足した。NTTデータ・セキュリティが中心となって運営していた設立準備会は4月21日、31社の参加企業とともに第1回総会を開催し、事務局と運営委員を選定した。 日本の「改正割賦販売法」と世界の「PCI DSS」の悩ましい関係 協議会総会において、日本オフィス・システム コンサルティング推進室の森大吾氏が日本のカードセキュリティの現状を解説した。2008年6月に成立した改正割賦販売法では、原則に当たる部分は経済産業省で決め、具体的な設定基準などを定めた細則は国が認定した業界団体、割賦販売協会で決める。その認定割賦販売協会として、日本クレジット協会が4月1日に発足している。 現状のカード情報セキュリティの基準は、原則に当たる政令
上記はすべて、海外のWebサイトを経由したサイバー攻撃により情報が流出した。具体的にはWebサイトのSQLインジェクションの脆弱(ぜいじゃく)性を利用し、外部から不正なコマンドを発行し、クレジットカード情報を含めた個人情報を抜き取る手法によった。 上記の中で、特にサウンドハウスに関する事故は象徴的であった。事故の教訓を広く知ってもらい、同様の事故の再発を抑止することを目的に、発覚からの対応経緯について同社はつぶさに公表した。 近年のクレジットカード犯罪の傾向 ここで整理しておきたいのは、クレジットカード情報が含まれた個人情報が漏えいする事件/事故の特徴である。 クレジットカードをECサイトなど非対面で使用する際は、ほとんどが16桁(けた)のカード番号と有効期限により承認処理されている。すなわちクレジットカードは、カードの実物がなくとも、その情報だけで盗むことができるという特徴がある。 クレ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
