今後の対策について
前回問い合わせていたメールに回答が来ました。
>全桁クレジット番号漏れは確実に無いということでしょうか?
>また、ヤフー・楽天経由での個人情報流出も確実に無いということでよろしいのでしょうか?
はい、どちらもないと認識しております。
まずナチュラムより確証が取れました。
コメントいただきましたが、楽天経由のみの買い物をした顧客にもカード変更の連絡がカード会社から来た件は、流出の有無に係わらず
与信用に保存していた番号全桁および、楽天・ヤフー経由のカード情報をカード会社と共有した結果のようです。
そのためカード会社側の事前対策として、カード再発行の手続きを行った事例もあるようです。
>個別問合せを行い、購入履歴が確認できれば、5%オフの対象となるということでよろしいでしょうか?
>また、その還元方法はどのようになりますか?
>ポイントでしょうか?それとも指定口座等への振込みでしょうか?
>(ポイントの場合、購入機会がない対象者はやは>り意味がありませんが...)
7/9~8/5にご購入いただきました分につきましては5%割引対象期間(8/6~10/31)にお買い物の機会がない方に関しましてはポイント付与もしくはご返金対応(口座への返金または現金書留での返金)とさせて頂いております。
ポイント、現金の両方に対応しているようです。
期間中に買い物をしている人は、必ず対応をとってもらいましょう。
>この件についての対象者は、「情報漏えいの可能性のある利用者」ではなく、「メールや電話よる問合せ者」などいわゆる「お詫び対象者」とは異なるものになりますでしょうか?
感謝の気持ちを形にする件につきましては今回のお詫びとは別のものでございます。ですので「メールや電話で問い合わせ頂いた方」といった事はございません。詳細につきましては検討中ですが会員様向けで考えております。
会員向けのようです。
ただし、通知はサイトで告知されずにメールによるものだけなので、届かない場合もありえます。
漏洩の第一報メールが届かなかった人は、今回も届かない可能性があります。
また、漏洩の経緯にたいしてIR情報が発表されました。
「ミネルヴァグループのセキュリティ対策に関するご報告」
http://financedl.yahoo.co.jp/company/3090/3090-105900424921.pdf
これを読む限りでは「最終的にはSQLインジェクション攻撃に対して、当社のシステムがエラーを応答してもなおSQLインジェクションの実行結果を表示する、というセキュリティ専門会社でも初めてみる特殊なSQL文を使われていたとの報告を受けております。」とのことで、一応不運だった部分もあるということで。
(発表や対応は別問題ですが…)
ちなみに、どんな方法だったんだろう。すごく気になります。
情報セキュリティ計画としては、第4プロセスまで計画されているようで、現在は第1プロセスのみ完了の状態。
すべて実行されれば、ECサイトの中でも相当強固なシステムになりそうです。
今後はこのセキュリティ計画の実行を見守っていきたいと思います。
僕自身、カード交換などの手間はありましたが、金銭的な被害はありませんでした。
仮にクレジットカードを不正利用されても、カード会社のほうで対応してくれますし。
この話題が早々と風化していく雰囲気になったのは、自分に実被害がなかったことも一つの要因だと思うのです。
今回の情報漏えい問題で、不正利用が金銭的被害に直結するクレジットカード情報に焦点が当たりがちですが、
むしろ変更できない個人情報が回ってしまっていることに僕はもっと目を向け、なにかあったときに自己対応できるようにしていかなければいけないと思っています。
関連記事