http://mecchanikukyu.hatenablog.com/entry/2016/09/06/125318
そこで自分が思うのは決済サービス、ペイジェント。言わずと知れたDeNAの子会社である。
これは4年ほど前のことになる。
ある日、自社の運営していたオンラインショップで、ペイジェントの担当E氏からこのような連絡をもらった。
当日のうちにカード決済はすぐに停止した。
その後第三者機関に調査しろと脅迫され、ベライゾンに調査を頼んだ。(ちなみに費用は100万以上して小さなショップとしては大打撃だった)
その間もいきなり決算報告書を出させられたり、カード番号流出事件で対応が遅れたばかりに炎上した会社の話を聞かされ、まるで犯罪者扱いだった。
その件について、弊社内の担当役員やカード関係各社たちへ共有しましたところ、
結論としまして、やはりフォレンジック調査会社のレポート結果→対外公表、と
調査費用は分割の支払いなど一切できず、ちょうど大きな仕入れが発生していた時なので、やっと月末に調査を依頼することができた。
結果が出てみれば、うちではカード番号を保存しない仕様にしていたのに、ペイジェントのモジュールが勝手にログを吐き出す仕様になっていた。
この仕様がなければ……カード番号流出などしなかったのではないか。
ベライゾンの方が言うには「意外と決済モジュールが原因でカード番号流出するのが最近多くなっている。今回、ペイジェントさんが原因なのは始めてなのでどう出ますかねえ」
と笑っていた。
この報告書を提出すると、次の日にE氏は出向元のDeNAに戻ると言い出し、S氏に担当が変わった。
異様なスピードだった。
担当がS氏になってから、挨拶もなく、2週間近く音沙汰なし。苦情を送ると、
「対策をしていた」
と言われた。
何の対策だ。
え……えー!?
その件について、弊社内の担当役員やカード関係各社たちへ共有しましたところ、
じゃなかったのか!?
しかしそれにしても、
連休でお客様の対応が1週間遅れただけで炎上する、とか脅していたのはなんだったんだろうか?
その後、自己問診票にチェックをすると、カード決済は再開した。
そもそもだけど、サーバのログにアクセスされてる時点で、クレジットカード以外にも情報漏洩してない? 書いてある内容だけだと詳しいことはわからないけど、 ログ見える状況だとす...
うーん。それはどうかなぁ。 ログファイルは場所やファイル名が分かりやすいから最初にみられやすいけど、 DBへの接続パスワードが書かれたファイルはかなり探さないと見つからない...
「小さなショップ」と書くぐらいだからECサイトをスクラッチから作る規模だとコストがあわないだろうし、WordpressかEC-CUBEベースじゃない? 中規模以下でECサイトを自社スクラッチって...