3月22日にDark Cloudによって暴露されたCtripのクレジットカード情報漏洩の脆弱性の方が気になる方も多いでしょう。明日には確実にニュースで取り上げられるでしょうから、プロセスの詳細には触れません。PCI-DSSとは、VISAとマスターカードが主導する「第三者決済業界のデータセキュリティ基準」です。PCI-DSSとは、VISAとマスターカードが主導する「第三者決済業界のデータセキュリティ基準」です。PCI-DSS基準では、データ保護の実施方法、保存できる情報と保存できない情報が明確に定義されています。したがって、今回Ctripは明らかにPCI-DSSの規定に違反しています。
というのも、Ctripは上場時にPCI-DSS基準を確実にクリアしており、このことからも一部のセキュリティ基準を導入・維持することがいかに難しいかがわかります。そして、『セキュリティ基準』や『コンプライアンス』の要件は、今や金のないビジネスに成り下がりました。PCI-DSSを導入するセキュリティ企業は、クライアントに大量の書類を提出することはあっても、実際に本気で取り組んでいる企業は少なくなっています。つまり、セキュリティ基準に合格しても何の意味もなく、ただライセンス料を支払っているだけなのです。例えば、PCI-DSSの要件は多くの派生的なセキュリティ・ニーズを生み出しており、VISAはここでメリットの大半を共有する数多くのセキュリティ企業に投資しています。このような利点があるため、認証の審査は厳しくなくなるはずです。
Ctripの公式説明によると、デバッグのために一時的なログが記録され、合計93人のユーザーが関与しており、それ以外のデータ漏えいは見つかっていません。私は、この脆弱性の作者であるPiggymanは、このデータを悪意のある目的で使用することはなかったと考えています。しかし、Ctripに他の問題があるかどうかは不明です。
利用者にとってはパニックになり、銀行にクレジットカードの再発行を依頼することになるかもしれません。しかし、今後オンラインクレジットカードでの支払いをしない限り、短期的に同様の問題を回避することはまだ難しいでしょう。Ctripよりも悪質で、規制を欠いている会社は他にもたくさんあると思いますが、特に未上場でPCI-DSS認証を受けていない会社は、こういった問題が日の目を浴びないので、知らないだけなのでしょう。
Ctripにとって、この事件は技術的な抜け穴というよりも、信用危機というべきものです。ユーザーの信頼を築くには何年もかかりますが、失うのはたった一日です。
