この問題、全容解明までにはしばらく時間がかかりそうですね。とりあえず筆者は明細書をこまめにチェック(これがシンプルにして最大の防御です!)するようにします。ま、レシートと月次明細の突き合わせはこれまでも毎月必ずやってましたけどね。
22日付けの日経新聞では、日本で同様の大量情報漏洩が起こる可能性は低いとの見方が大勢だと伝えています。その理由として、日本では利用者の与信を自社で実施するのが一般的で、各カード会社が自社のコンピュータで利用者情報を管理しているため、仮に情報漏洩が起こっても、一気に複数のカード会社のデータが漏れることはない、というのである。
確かにそれはその通り。ただこれは「現時点では大量情報漏洩の低いが、今後その可能性は高まる」ということの裏返しでもあります。日本のカード会社の中にもコスト削減、与信の効率化、高速化などを狙って、事務部門のアウトソース、集約化を進める動きがあります。効率化は結構なことですが、今回の二の舞はごめんですので、日本のカード会社はセキュリティに十分配慮した上で、アウトソースなり、集約化なりを進めてもらいたいものです。
それと同時に、不正検知システムの能力強化にも力を注いでもらいたいと思います。不正検知システムというのは、過去の購買履歴や会員情報(居住地、年齢など)から総合的に判断して、明らかに不審な決済が行われた場合に、警告を発する(承認を出さない)というものです。極端な例を言えば、日本で発行され、これまでスーパーでの少額決済にしか使われたことのないカードが、突然アメリカで2000ドル分の商品券の購入に使用された、などといった場合にシステムが作動するというわけです。
別のアプローチとして、クレジットカードがIC化されていれば、仮にカード番号等のデータが漏れても物理的に偽造できない、という考え方もあります。ただ、全世界のすべてのカードがIC化するまでには時間がかかります。それまではICチップ+旧来の磁気ストライプ、というデュアル構造を取らざるを得ないと思いますので、それではあまり意味がありません。
というわけで、カード会社側の対策を待つだけではちょっと心許ない感じです。というわけで最初に戻りますが、我々ユーザーが今すぐ出来る最も安上がりな対策は「明細をこまめにチェックすること」だということですね(^^;)。
ども、元クレジットカード決済システムの専門家だったおのでらです(笑)
もりもりが引用した日経の説は、かなりマユツバですねぇ
>?日本では利用者の与信を自社で実施するのが一般的で、
>各カード会社が自社のコンピュータで利用者情報を管理しているため、
>仮に情報漏洩が起こっても、一気に複数のカード会社のデータが
>漏れることはない、
まぁ、リアルかバーチャルかによって違いはあると思いますが、
自分も関わったシステム(国内40%強?のシェア)では
顧客データがごりっとDBに残ってます。2000年当時なので
そろそろシステムをリニューアルさせていれば、別ですが。
>日本のカード会社の中にもコスト削減、与信の効率化、高速化などを
>狙って、事務部門のアウトソース、集約化を進める動きがあります。
>アメリカは日本よりも、そういった変化が早く起こっていたために、
>それが今回の問題の一因になってしまったわけです。
えーっと、すでに20世紀末から集約化とアウトソース化は日本でも
起こっていますが、今まで問題がおきなかったのは、スニフィング技術で
あったり、XSSの脆弱性をつくような攻撃手法が浸透していなかった為
ではないでしょうか。
このトラブルのキーポイントは、まず与信をするのは自社マシンだが、
その与信をするメインフレームにつなぐサーバーは??という点
リアルでもCATから電話回線なり専用線なりで、メインフレームに
直に接続しているわけではありません。中継サーバーが売上や
取り消しなどのインターフェースをになっています。なのでここを
やられると(今回のアメリカの状況)日本でもアウトです。
バーチャルではもっと露骨ですね。中継決済サーバーをおいて
決済業務だけをおこなっている会社はけっこうあります。カード会社は
万全のセキュリティでもそういう決済会社って大丈夫なの?ということ。
一番の対策は、もりもりの言うように自分での明細チェックを怠らない
ということにつきるのでしょうね。しかし今日、お店でレシートと明細
いらないという強者がいました。当然カードの裏に署名していないし
支払い方法が選べることや内容を確認したら署名をしなきゃいけない
なんていうことも知らない。知らないことは罪ではないのでいいのですが
そういう人にカードの使い方を教えないで、キャンペーンだからといって
強引に作らせている人&会社が一番罪深い気がした今日一日でした。
最後にコメントなのに、めっちゃ長文、大変失礼m(_._)m