セキュリティコード付きカード情報が約1万1000件流出。2ちゃんねる利用者は注意(追記あり)
巨大匿名掲示板「2ちゃんねる」をより快適に利用するためのサービス「2ちゃんねるビューア」の登録者履歴および利用記録が抽出する事件が発生した。詳細について明らかではない点もあるが、緊急性の高い情報を中心にお伝えしたい。
流出した複数の情報中、もっとも緊急性が高いと考えられるクレジットカード情報は、決済用入力フォームの動作記録ファイル(ログファイル)が流出した。このファイルには2011年7月29日以降に2ちゃんねるビューアの決済を行った約3万2000件分のクレジットカード情報が記録されている。また、2012年11月2日以降に決済された約1万1000件はセキュリティコード(CVCあるいはCVVコードとも呼ばれる3桁もしくは4桁の数字列)も記録されている。
ここでは流出ファイルの入手方法については書かないが、数人の被害者が独自に流出ファイルを入手し、自身のセキュリティコードがクレジットカード情報とともに記録されていることを確認している。
セキュリティコードはカード所有者を特定するため、カード番号や有効期限などとは別に扱われるコードで、一連のカード情報と組み合わせてオンライン決済が行えるようになるため、より緊急性が高い。真偽は不明だが、数100円程度の少額から数10万円まで、心当たりのない請求があったとの声も出始めている。
上記サービスを対象期間内に申し込んだ方は、早めにカード会社に連絡してカードの無効化手続きを行うべきだろう。なお、本記事執筆時点において、2ちゃんねるビューアの公式ページに、情報流出に関連したアナウンスはないが、2ちゃんねるの運営に関与しているという「信号停止★」氏がこのページにて、所有カードが流出データに含まれているか否かを検索する機能を提供している。流出ファイルと突き合わせることで確認していると思われる。
なお、2ちゃんねるビューアを用いて各ユーザーが2ちゃんねるに書き込んだ履歴も流出している。このため特定利用者が過去にどのような順で書き込みを行ったのか、”トリップ”と呼ばれる本人確認を行うためのコードや固定ハンドル名(描き込みに使うニックネーム)と利用者、書き込み履歴なども追跡できるという。
今年5月、海外渡航者向けのワイヤレスルータ貸し出しサービス業の「エクスコムグローバル(ブランド名グローバルデータ)が10万9000件のクレジットカードデータ流出を発生させたが、この際もセキュリティコードの同時流出が問題となった。
クレジットカード会社は決済サービスを利用する事業者によるセキュリティコードの記録を禁止しており、流出原因、経路、流出データ内容、今後の対策などとともに、改めてその扱いに注目が集まることになるだろう。
2ちゃんねるビューアを提供するN.T.Technology社より「不正アクセスによるお客様情報流出に関するお詫びとご報告」が掲載されました。
もっとも、現在、話題の中心はクレジットカード情報の流出から、「匿名性が信じられていたインターネット掲示板」において、過去にどんな経緯で書き込みが行われてきたのかが、流出データを分析することで簡単に判ってしまうことへと移り変わってきているようです。
なお、本稿ではそうした”実は作り話だった美談”や、”匿名掲示板でネタを無心していた雑誌社、ウェブサイト”、”煽りを入れることで話題を呼び込んでいた出版社社員”などのが判明しはじめている、といった噂を取り上げる予定はございません。