pci dssサービス紹介サイト - ペイメントワールド

[ 2012年07月26日 - PAYMENT WORLD ]不正アクセスに対する調査結果を公表、PCI DSSに準拠しカード情報は非保持を採用してクレジットカード決済を再開(ベクター)

2012年7月26日19:41

ベクターは、2012年7月24日、同社サーバへの不正アクセスに対する調査結果を公表した。

同社では、3月21日に、一部サーバに異常が発生し、同社システム担当者が対応したところ、3月19日~3月21日にかけて、サーバに対して4回の不正アクセスと思われる痕跡があることを発見し、顧客情報を保持するサーバに対しても不正アクセスしたと思われる痕跡があったため、ただちに調査を開始した。

同調査は、不正アクセスの嫌疑の報告を受け、ただちに社内で組織化した事故対策委員会を中心に、ラック、ベライゾンジャパンの調査機関の協力により実施した。

その結果、攻撃者が同社システムに侵入、決済システムのプログラムを改竄したことが確認されたという。当該改竄プログラム経由で、3月20日~2012年3月22日にかけて、463件のクレジットカード情報が窃取されたとみられる。採取された情報は、クレジットカード番号、セキュリティコード、カード名義、•有効期限となる。また、窃取されたクレジットカード情報は、いずれも同社のPC向けオンラインゲームを利用した人のもので、同社のソフト販売の利用者、あるいはモバイルゲーム利用者のクレジットカード情報は含まれていなかった。

また、同社が運営するPC向けオンラインゲームポータル GAMESPACE 24のIDとパスワードの一部に流出の嫌疑があることが判明した。実際の被害発生は確認されなかったが、安全のため6月にGAMESPACE 24のID、パスワードシステムを改定し、あわせて全ユーザのパスワードの変更を実施。また、より安全なサービスの提供を実現するために、2012年7月よりワンタイムパスワードシステムも導入している(PC向け新規オンラインゲームタイトルより順次対応)。

同社では、セキュリティ強化に関して専門会社のアドバイスを受けながら対策を実施しているという。これまでに実施しました対策としては、「アクセス制限の強化」 、「個人情報の削減と暗号化」、「専用機器の設置ならびにモニタリングの開始」、「システムの再構築」、「ID、パスワードシステムの強化」、「PCIDSSへの準拠」、「クレジットカード決済の再開およびクレジットカード情報の非保持」 となる。

PCIDSSには、7月13日に準拠している。また、クレジットカード決済については、クレジットカード会社の承認を受け、2012年7月19日より順次再開している。なお、カード決済の再開にあたって、決済代行事業者を利用することにより、同社自身ではクレジットカード情報を保持しないようシステムを変更している。

同社では今後の対応として、「ネットワーク構成全体の見直しによる堅牢なセキュリティの実現」、「アクセス権限のさらなる厳格化による社内セキュリティレベルの向上」、「サーバおよびクライアントPCの設置・運用・廃棄管理の厳格化」を予定している。

PCI DSS資料請求はこちら

pci dss 目的から資料請求 pci dss 12要件から資料請求
pci dssサービス紹介サイト - ペイメントワールド