ここから本文です

流出元が不明!? 32万件の決済情報はどこから漏れた

THE ZERO/ONE 10/13(木) 16:20配信

9月12日、一人のセキュリティ研究者が、決済に関するデータを含めた個人情報32万件以上がオンラインにダンプされていたことを報告した。流出に関わったとみられる人物は、そのデータが決済代行サービス「Bluesnap」のものであると説明したが、当のBluesnapは被害を受けたことを否定した。

このインシデントは、これまでに繰り返されてきたような顧客情報の漏洩事件とは少し事情が異なっている。漏れたデータの件数や内容は深刻である一方で、「どこから漏れたのか」が判明するまでに紆余曲折があった。そして結局のところ「何が原因で起きた事件なのか」は現在もはっきりしていない。

ダンプされ、数日で削除されたデータ

すべての始まりは、0x2Taylorと呼ばれる人物が2016年7月10日に記した一つのツイートだっただった。該当のツイートやレスへの返信などは削除されているが、現在でも「archive.is」に残されたアーカイブを見ることができる。

このツイートは「Bluesnapのデータベース」にアクセスするためのURLを示したもので、そこには顧客のIPアドレス、メールアドレス、電話番号、住所、氏名、郵便番号、クレジットカードに関する情報などが含まれていることも示唆されていたが、それ以外の説明はなかった。つまり0x2Taylorはツイートの意図や経緯について何も語っていないため、これを犯行声明と断言するのは少々乱暴かもしれない。しかし、この問題について同時期に言及した者は他に見当たらず、また流出したデータそのものにも「0x2Taylor」の文字列が記されていたため、おそらく犯行に関わった本人(あるいは関係者)によるツイートだと考えられている。

リンク先のデータは、このツイートの数日後に削除された。そして0x2Taylorは有名な人物でもなかったため、そのファイルにアクセスした人数はあまり多くなかっただろう。しかし先述のアーカイブは、削除される前にアクセスした人々の反応も示している。入手したデータを彼らがどのように扱っているのかは知るよしもない。

ツイートに示された Bluesnapとは、29の言語と100の通貨、110の支払い方法に対応した国際的なサービスを提供している決済代行プロバイダーだ。2001年にイスラエルで誕生したときのブランド名は「Plimus」だったが、2011年に1億1500万ドルで買収されてからは米国拠点の企業となり、名前もBluesnapに改められた。日本ではあまり馴染みがないものの、決済サービス業界では世界的に有名なサービスのひとつで、今年に開催された業界の一大イベントPYMNTS Innovator Awards 2016でもMerchantSolution部門の最優秀賞を獲得している。

どうも業務内容にピンとこないという方には、やや大雑把だが「PayPal」のようなサービスをイメージしていただきたい。つまりBluesnapはネットユーザーへ直接的に商品を販売している小売店ではなく、またクレジットカード企業や銀行でもなく、「ユーザーがカード払いを行う際の、オンライン決済」の部分を担っている。

1/4ページ

最終更新:10/13(木) 16:20

THE ZERO/ONE

TEDカンファレンスのプレゼンテーション動画

失うことで不完全さの中に美を見出した芸術家
画家のアリッサ・モンクスは、未知のもの、予想しえないもの、そして酷いものにでさえ、美とインスピレーションを見出します。彼女は詩的で個人的な語りで、自身が芸術家として、そして人間として成長する中で、人生、絵の具、キャンバスがどう関わりあってきたかを描きます。 [new]