正月に、ソースネクストでソフトの福袋を買ったというお話をしましたが、なんと、ソースネクストで買い物をした人のクレジットカードの情報が漏洩したというニュースが飛び込んできました。2023年2月14日のことです。
漏洩の対象となるお買い物期間は、私が買ったタイミングとバッチリ当てはまります。ほどなくして、「あなたも対象です」というメールがソースネクストから届きました。
実は、正月に買い物をしたあとも、いろいろ他のソフトが気になって、買おうとしていたのですが、あるときから、クレジットカード決済ができなくなっていたことには気づいていました。
インターネットで調べても、同じように困っている人の声も見当たらず、なにか決済会社とトラブルでもあったのかな、と勝手に思っていましたが、まさか情報漏洩で調査していたとは。
ソースネクストさんが、この件でどのような対応をして、ユーザーに対してどのような説明やお願いをするのか、気になって、いろいろ見ていました。
ニュースでも触れられている報道発表によると、脆弱性を狙われて悪意のある第三者に漏れたとのこと。漏れた内容には、クレジットカード番号だけでなく、有効期限やセキュリティコードまで漏れたとあります。
カード番号だけでなく、有効期限とセキュリティコードまで漏れたら、たいていのネットショップで買い物ができてしまいます。人の金を勝手に使われるのも同然です。
これを見て、「ソースネクストは、ユーザーのクレジットカード情報を、有効期限やセキュリティコードまで含めて保存してたのか!?」と、驚きました。かなり悪質な会社だなと思いました。
そして、ソースネクストは謝るばかりで、損害の補償などはクレジットカード会社に相談してくれと、丸投げの姿勢も見られました。これもまた、けしからんと思いました。
ところが、そのあと、別ページに分かれているQAのページを見つけて、読んでみたところ、「当社ではお客様のクレジットカード情報は一切保有しておりません。」と書かれていました。
あれ?おかしいなと思い、読み進めると、情報自体は保存していないけども、Webページを書き換えられちゃったので、悪意のある人間に漏れた、と書かれていました。
どういうことかというと、まず、ソースネクストでクレジットカードで買い物をするときは、ソースネクストのWebページでクレジットカード情報を入れます。そのあとポチッとやると、決済会社のサービスに接続して、決済処理されて、買い物が成立します。
その、ソースネクストのWebページで一旦入力した情報が、悪意のある人間に書き換えられたWebページのソースにより、別のサーバーにも送られてしまった、ということです。
Aさんにだけ送るはずのメールに、いたずらされて、Bさんのメールアドレスも入れて送られてしまった感じですかね。
この手口は、最近流行っているもので、たくさんの企業が同じやりかたで被害に遭っています。
かわいそうなのでリストアップはしませんが、クレジットカード会社のホームページで、「お知らせ」を見ると、今回のソースネクストの件とあわせて、過去に被害に遭ったネットショップの情報も載っていました。
ソースネクストだけではなかったんですね。有名な会社だと、ニュースになって、騒がれてしまいますね。
ただ、発表が遅かったことにより、被害者が増えた可能性はあると思います。発表が早ければ、再発行などの処置ができて、被害者が減っていたかもしれません。
また、私はたまたまQAのほうの内容も見て、原因が理解できて、その深刻さが分かったからいいですが、いまだにピンときていない人もいるかもしれません。
いつクレジットカード情報が悪用されるか分からない、非常に危険な状態であること、クレジットカード再発行などの適切な対処が重要なことも、もっとしっかり伝えたほうがよさそうです。
私は、公開された情報から判断して、クレジットカードの再発行の手続きを取りました。電話もつながりにくかったので、同様の境遇の人も多かったのかもしれません。
ひとまず安心ですが、面倒な支払いの変更などの手間は残りました。これ以上被害者が増えなければいいなと思っています。