ヤマダ電機のクレジットカード情報流出事件、「セキュリティコードを保存」の誤解広がる

(写真:西村尚己/アフロ)

 ヤマダ電機が5月29日にクレジットカード番号が流出した恐れがあると発表した件において、同社に対し「セキュリティコードを保存していたのか」と誤解にもとづく批判が広がっています。

原因はアプリケーションの改ざんによるもの

 発表によると、流出した恐れがある情報は「クレジットカード番号」、「有効期限」、「セキュリティコード」の3つです。

 かなりクリティカルな漏洩であり、「セキュリティコード」まで含まれていたことから「保存が禁止されているセキュリティコードを保存しているなんて!」という批判につながっているようです。

 しかし、漏洩原因はデータベースへの不正アクセスではなく、ペイメント(決済)アプリケーションの改ざんです。

 念のためヤマダ電機の広報部にも確認を取りましたが、やはり同社では「セキュリティコードを保持していない」とのことでした。

誤解が広がった原因は報道によるもの

 では、なぜヤマダ電機の発表内容に「ペイメントアプリケーションの改ざんが行われたため」とあるのに、このような誤解が広がったのでしょうか?

 筆者はマスコミによる報道内容に原因があると考えています。

 いくつか例として取り上げてみます。

NHK

 流出のおそれがある情報はことし3月18日から4月26日までの間に2つのサイトに新規に登録したり、登録内容を変更したりしたカード番号や有効期限、それにセキュリティコードです。

 このうち、一部のカード情報が不正に利用されたおそれがあるということで、現在、会社が被害の件数や被害額などを調べています。

出典:ヤマダ電機 カード情報3万7000件余流出か 不正利用のおそれも | NHKニュース

朝日新聞

 家電量販大手のヤマダ電機は29日、運営する二つの通販サイトが不正アクセスを受け、最大3万7832件のクレジットカード情報流出の恐れがあると発表した。一部の情報は不正利用の可能性があることを確認したという。

 不正アクセスを受けたのは「ヤマダウェブコム」と「ヤマダモール」。3月18日~4月26日にカードの新規登録や変更をした顧客について、カード番号、有効期限、セキュリティーコードの情報が漏れた恐れがある。

出典:ヤマダ電機、クレカ情報3万7千件流出か 不正アクセス:朝日新聞デジタル

読売新聞

 家電量販最大手のヤマダ電機は29日、自社のインターネット通販サイトが不正アクセスを受け、最大3万7832件のクレジットカード情報が流出した恐れがあると発表した。一部のカードは不正利用された可能性もあるという。

 ヤマダ電機によると、不正アクセスがあったのは、「ヤマダウェブコム」と「ヤマダモール」。3月18日~4月26日に、クレジットカードの新規登録や変更手続きをした客の、カード番号やセキュリティーコードなどの個人情報が流出した可能性がある。今のところ氏名や住所などの情報流出は確認されていないという。

出典:ヤマダ電機に不正アクセス、カード情報流出恐れ : 国内 : 読売新聞オンライン

日経新聞

 家電量販店最大手のヤマダ電機は29日、運営する通販サイト「ヤマダウェブコム」「ヤマダモール」が第三者による不正アクセスを受け、最大3万7832件の個人情報が流出した可能性があると発表した。クレジットカード情報が流出したと見られ、一部で不正利用された恐れがあるという。氏名や住所などの情報流出はないとしている。

 同社によると、3月18日~4月26日に、2つの通販サイト上で新規登録・変更されたクレカ情報が流出したもよう。カード番号と有効期限、セキュリティーコードが漏れ、不正利用の可能性も確認された。

出典:ヤマダ電機、個人情報流出か 最大3万7千件  :日本経済新聞

 どの報道でも「不正アクセスによるクレジットカード情報の流出」については伝えていても、どのような不正アクセスだったのかは説明していません。

 そのため、これらを読んだ読者は普通に「不正アクセスでデータベースから情報が抜き取られたのだな」と受け取ってしまいます。

 これでは「大手家電量販店でも禁止されているセキュリティコードを保存するような行為をしている」といった誤った認識が広がってしまいます。

 また、肝心の「ページの改ざんに注意しなければいけない」ことも伝わりません(今回はアプリが改ざんされていたため、利用者の目から気付けるかと言えば無理なのですが……)。

 この記事で「セキュリティコードを保存していた」との認識は誤りだということが少しでも伝われば幸いです。

1ヶ月以上、公表しなかったのは問題

 蛇足というか一応書いておきますが、ヤマダ電機が4月16日に情報流出の恐れがわかってから1ヶ月以上先の5月29日まで公表しなかったのは大きな問題だと筆者も考えています。

 この記事は「セキュリティコードを保存していた」という誤解が広がった結果、ネットユーザーが必要のない不安に襲われることを抑えることを目的としているだけであり、ヤマダ電機のクレジットカード情報流出を擁護するものではありません。

 こういうこと書いておかないとなんかめちゃくちゃ文句言われるので、すみませんが書いておきます。