チケット販売大手のぴあは25日、同社がプラットフォームを提供し運営を受託しているプロバスケットボール・Bリーグのチケットサイトとファンクラブのサイトがサイバー攻撃による不正アクセスを受け、個人情報約15万件が流出した可能性があると発表した。約3万2千件のクレジットカード情報が含まれ、21日時点でカードの不正使用が197件、計約630万円分確認された。ぴあはすでに警視庁に相談したとしている。同
2012/04/20 ビザ・ワールドワイドは4月19日、同社のセキュリティに対する取り組みについて説明会を開催した。米ビザのチーフ・エンタープライズ・リスク・オフィサーを務めるエレン・リッチー氏は、「予防」「保護」、それに犯罪が起こったときの「対策」という3つの多層的な取り組みを通じて、信頼を高めていきたいと述べた。 予防のステージで取っている対策には、ICチップを搭載したEMV仕様のカードの普及と、それを利用し、決済のたびに異なるコードを生成して認証を行うダイナミックデータ認証といったものが挙げられる。 保護の段階で大きな役割を果たすのは、加盟店でのセキュリティ対策だ。各加盟店でカード情報が盗まれないように暗号化/トークナイゼーションを行ったり、はじめからデータを保管しないようにする「データ非保持」といった取り組みを推進している。また、どうしてもカード情報を保管せざるを得ない場合、「PC
2010/10/29 PCI SSC(Payment Card Industry Security Standards Council)は米国時間の10月28日、セキュリティ標準の新バージョン「Payment Card Industry Data Security Standard(PCI DSS)2.0」を公表した。 PCI DSSは、クレジットカード会員データの保護を目的に、クレジット業界が定めたセキュリティ基準だ。6つのカテゴリ、12の要件から構成され、取るべき対策を具体的かつ明確に定めていることから、クレジット業界に限らず、一般的な企業や組織のセキュリティ基準としても採用されている。 新バージョンは、既存のバージョン1.2.1に比べ「大きな要求事項を新たに盛り込むものではない」(PCI SSCのプレスリリース)。PCI DSSに対する理解および導入を促すため、表現および内容をより明
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
上記はすべて、海外のWebサイトを経由したサイバー攻撃により情報が流出した。具体的にはWebサイトのSQLインジェクションの脆弱(ぜいじゃく)性を利用し、外部から不正なコマンドを発行し、クレジットカード情報を含めた個人情報を抜き取る手法によった。 上記の中で、特にサウンドハウスに関する事故は象徴的であった。事故の教訓を広く知ってもらい、同様の事故の再発を抑止することを目的に、発覚からの対応経緯について同社はつぶさに公表した。 近年のクレジットカード犯罪の傾向 ここで整理しておきたいのは、クレジットカード情報が含まれた個人情報が漏えいする事件/事故の特徴である。 クレジットカードをECサイトなど非対面で使用する際は、ほとんどが16桁(けた)のカード番号と有効期限により承認処理されている。すなわちクレジットカードは、カードの実物がなくとも、その情報だけで盗むことができるという特徴がある。 クレ
2008年12月5日にベルサール六本木(東京・港区)で、@IT編集部が主催する「@ITソリューションセミナー PCI DSSで知る・見る・使えるセキュリティ対策」が開催された。 PCI DSSはクレジットカード業界のセキュリティ基準だが、情報セキュリティに対する具体的な実装を要求していることから、企業の一般的な情報セキュリティにも応用できるものとして、昨今注目を集めている。 ここでは、セミナーの冒頭に行われた、マスターカード ワールドワイドセキュリティリスクサービス 日本/韓国担当 ビジネス・リーダーの荒川明良氏による基調講演「グローバルなデータセキュリティ基準であるPCI DSS」の内容を紹介する。 国際カードブランドがPCI DSSを制定した理由 PCI DSS(Payment Card Industry Data Security Standard)とは、支払カード業界のセキュリティ
2008/11/14 ビザ・ワールドワイドは11月13日、クレジットカードやデビットカードなどのペイメントカード業界のセキュリティ基準である「PCI DSS」の国際的な義務化に向けた順守期限を発表した。取引量によって決められる加盟店のレベルとPCI DSSバリデーション要件の統一が行われ、取引量の多い上位レベルの加盟店に対しては、具体的な報告期限が設定された。 加盟店はペイメントカードの年間取引量により4つのレベルに分類され、PCI DSSのバリデーション要件はレベルごとに異なる。年間取引量が600万件を超えるレベル1の加盟店に対しては認定セキュリティ評価ベンダ(QSA)による年次報告書の提出や、脆弱(ぜいじゃく)性スキャニングベンダ(ASV)による四半期ごとの脆弱性スキャン結果の報告が求められる。 このうち上位のレベルに分類される加盟店に対しては、「保管禁止データの廃棄期限」(レベル1、
電通、三菱UFJ信託銀行など大手企業が相次ぎ参入を表明する「情報銀行」。ここに挑むベンチャー企業がDataSign(東京・渋谷)だ。同社の太田祐一社長は情報銀行という言葉が生まれる…続き 中部電力が「情報銀行」参入へ 電力データを活用 [有料会員限定] 「情報銀行」説明会に200社 データ流通の枠組み始動
個人情報保護,内部統制,グリーンIT…。米国でブームになったことが2年くらい遅れて日本でブームになるというのはいつものことだが,もしかすると次のブームになるかもしれないのが,「PCIDSS(PCIデータセキュリティ規準)」である。 PCIDSSとは,有力なカード・ブランド会社5社が2004年12月に共同で策定した情報セキュリティの規準(関連記事)。情報システムからのカード情報の漏洩を防ぐためのものである。「カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること」「システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと」など12項目の要件で構成されており,各項目はさらに具体的な中項目,小項目に分けられている。 PCIDSSは,クレジットカード会社のためだけの基準ではなく,幅広い事業者が対象になる。PCIDSSを推進する立場にある
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く