ＧＭＯペイメントゲートウェイ(株)【3769】の掲示板 2017/03/20〜2017/11/02

>>604

セキュリティーコードは、クレカに物理的に書いてある番号で、逆に言うと磁気データには入ってないの。だからスキミングとかでデータ取られても、物理的にカード取られない限り漏れない情報だから本人確認に重要なの。当然それをデータとして一括で持っておくと情報漏えいした時にまとめて取られちゃって意味無いから、システム上セキュリティーコードは保持してはいけなくて、そうしないと認証得られないの。
GMOPGは、「セキュリティーコード保持してませんよ」といって、認証も取って、実際はセキュリティーコード保持してる仕様で、その理由が「コード打った人とチェックする人が同じだったからチェック機能が働きませんでした」というものだったの。というのがセキュリティーコードの話。

ネットの海に・・・というのは、
本来は保持してはいけない情報だけど、GMOPG自体のセキュリティが堅固ならどっちみち漏れはしなかったのだけど、そのセキュリティが、OSSで「脆弱性があるので使わないように」というのが技術者の間で常識になっているstruts2を使っていて、しかも社内のセキュリティ体制がOSS使う状態でなくあたかも外部のフルサポートサービス使ってるかのような受身・無責任体制だった、というのが再発防止委員会の報告書で暴露されたの。
※どこぞの第三者委員会設置を頑なに拒む会社よりはまともかしらｗ

そして対策として「脱struts」を徹底してセキュリティ上の穴が無いようにする、というのだけど、
それが「中長期的対策」の欄にあるの。つまり「すぐには」やらないと言う事で、実際やる場合は多額のコストがかかって（だからGMOPG自身が脆弱性を認識していながらそのまま放置していた）その分の下方修正が必要なのだけど、「そのコストは発生しないので修正には織り込まない」と明記してあって、つまりは当面は直さない・・ということなの。

結果、脆弱性の塊であるstruts２ベースのシステムの中に、クレカのセキュリティーコードがあって、氏名やメールアドや色んな情報もセットだからスキミングデータと容易にマッチングできる、という、クラッカーにとっては宝の山がある、と宣言してしまっている状態、ということなの。