『もちぽよアラート』トレンドの押し目&戻し~逆張りまで高精度で狙えるサインインジケーター+手法のセット
FX最大の販売プラットフォームと言えば、GogoJungleですが、その運営元の株式会社ゴゴジャンでは、2017年に情報漏えいの問題がありました。
今回は発生から約2年経過した今、現在も行っている改善点について株式会社ゴゴジャンの早川社長にインタビューをしてみました。(2019/7)
この問題は、2019年現在では解決済みの内容ですが、FX業界のみならずプラットフォームサービスを行う方々にとっては決して忘れてはいけない問題です。
2019年7月時点に株式会社ゴゴジャンに、その後のインタビューをした内容も載せていますのでご参考ください。
ゴゴジャン(GogoJungle 旧:fx-on)の情報漏洩問題の経緯
ゴゴジャンの情報漏洩問題は2017年6月2日に発生しました。
決済代行会社からの不正利用の可能性があるとの報告を受けて判明しています。
1. 平成 29 年6月2日(金) 10:00
弊社の契約先である決済代行会社から「fx-on」利用のお客様クレジットカードにおいて不正利用が発生した可能性があるとの一報を受けました。
直ちに弊社内にて事故対策本部を設置し、即日、「fx-on」におけるクレジットカード決済の利用を停止いたしました。
この一報を受けて、fx-onサービス内でのクレジットカード決済の利用を即時に停止しています。
その後、サイト内、並びにメールにて『弊社サイトへの不正アクセスによる個人情報流出の可能性についてのお知らせ』を配信。
2. 平成 29 年6月5日(月)13:00
『弊社サイトへの不正アクセスによる個人情報流出の可能性についてのお知らせ』をサイトトップに掲載するとともに、電子メールにて会員様に別途ご案内いたしました。
この辺りの初動は問題なかったようです。
しかし、ネット上で、検索すると結構ネガティブな事が記載されている事がわかります。
その原因が、以下です。
3. 平成 29 年6月5日(月)
関係各所より、「カード情報の流出という事実が判明してないことから、混乱を回避するため、サイトトップのお知らせの記載内容を変更して頂きたい」との指摘があり、サイトトップの掲載文言を『カード決済メンテナンス中』へ変更いたしました。
どうやら、リリースした内容を変更したようですね。
この件について、担当の方に伺ったことがありますが、変更の背景となった【関係各所】は、ゴゴジャン社の私欲等とは全く関係のないところでの要望?だったようです。
この点が、ただでさえ大事な問題の中で、ユーザーに十分に説明がないまま変更された事で炎上へと繋がったようです。
その後は、第三者機関の指示に従い、改善に向けて進めていっています。
当初発表された、再発防止策は以下の通り。クレカ情報をシステム内に残さない対応と、脆弱性診断の実施。
正直、BtoC系の大量ユーザーを抱えるサービスならいずれも対応スべきことがされていなかったのは残念でなりません。(もちろんBtoBでも同様ですが。)
弊社は二度と同様の事案を起こすことのないよう、以下の再発防止策を実施してまいります。
1. クレジットカード情報が弊社システム内に残ることのないシステムへ改良を進めてまいります。
2. 弊社サイトへの不正アクセスの有無の確認、及び、弊社サイトの不正アクセスに対する脆弱性診断を定期的に実施いたします。
また、第三者機関からの返答からリリースまでに期間を要していたことにも批判がありました。
この辺りのリリースのタイミングは、同様の流出企業と比較しても批判ばかりするものでもないかと思います。リリースには慎重にならざるを得なく、社外ならず社内での調整も必要だったはずです。
情報流出した個人情報は9822件
以下がリリース内容に記載されている事項です。
流出件数は9822件と少なくなく、約2年間悪意あるプログラムが仕込まれていました。
(1) 流出した可能性のある情報
ア 氏名(カード名義人名)
イ クレジットカード番号
ウ 有効期限
エ セキュリティーコード(2) 流出の規模
流失した情報の件数 9,822件(=カード番号の数)
※平成27年9月15日から平成29年6月2日の間に弊社オンラインショップでクレジットカード決済をご利用されたお客様が情報流出の疑いのある対象となります。(3) 原因
弊社のクレジットカード支払いサイトに第三者による悪意あるプログラムが仕込まれていたことが確認されましたことから、同プログラムを経由してカード情報が不正取得された可能性が高いものと思われます
参考1)FX業界の他社事例 DL marketは個人情報流出後、サービス停止へ
FXインジケーター等のデジタルコンテンツ販売所DL marketでも、個人情報漏洩問題がありました。
こちらは、購入時のクレジットカード入力ページが、本来とは異なるダミー入力サイトに飛ばされ、データを盗まれるという事象でした。(フィッシング詐欺)
当初は、サービスのシステムを改修することでサービス再開を予定していましたが、諸般の事情により終了の運びとなりました。
情報漏えいに伴う、信用の改善、ユーザーへの保証、サービス改修、従業員への支払い等、様々な課題からの意思決定ではないかと考えられます。
参考2)2018年のクレジットカード情報流出企業一覧
以下は、「クレジットカード大学」より引用となります。2018年のクレジットカード流出企業一覧です。
危険度「高」はセキュリティコードまで流出となります。2017年のゴゴジャンもここに該当しますね。
過去最も規模が多かったのは、2004年に起きたコスモ石油の事件で、約92万人のクレジットカード情報が流出しています。
流出会社 対象サイト 流出期間
(公表値)被害規模(件) 危険度 近藤ニット㈱ evam eva online shop 3/7~6/19 358 高 ㈱エディットモード editmode 3/7~7/11 14,679 高 新日本造形㈱ ZOWHOW 4/25~7/18 397 高 伊織 伊織ネットショップ 5/8~8/22 2,145 高 トランスコスモス㈱ SOKAオンラインストア 7/30~8/24 2,481 高 ㈱洋菓子舗ウエスト ginza-west 9/12~11/2 668 高 ディー・エル・
マーケット㈱DLmarket 10/17~11/12 7,741 高 あわせて読みたい
もし、クレジットカードが不正利用されたらどうなる?
クレジットカード会社の規約を読み直す事が前提とはなりますが、一般的には、不正利用については損失分が保証されます。
ただし、こちらから気づかない限りカード会社でもわからないことも多いですので、日頃からクレジットカード明細には目を通し、問題ないかを確認するのが良いでしょう。
私も海外旅行中にスキミングされたようで不正利用されたことあります。
不審な引き落としがあったためカード会社に連絡後、無事損失分は保証されました。
ゴゴジャンの情報漏えいに対する再発防止策は対応済
再発防止策実施完了は2017年8月28日となります。リリースは9月29日です。
【再発防止策】
1. 「Payment Card Forensics株式会社」指摘の改善事項の実施完了
「Payment Card Forensics株式会社」(VISA、JCB等のカード会社5社が共同で設立した機関「PCI SSC」(Security Standards Council)による改善事項全項目につきまして、平成 29 年8月28日(月)に実施完了いたしました。
※クレジットカード情報そのものを保持しない方式に変更いたしました。2. 外部専門事業者の脆弱性診断
外部専門事業者による弊社サイトの不正アクセスに対する脆弱性診断を毎日実施することにつきまして、8月28日(月)に開始いたしました。3. 情報セキュリティポリシーの設置
弊社情報セキュリティポリシーの設置を8月7日(月)に完了いたしました。4. コンティンジェンシープラン
弊社コンティンジェンシープランの設置を8月7日(月)に完了いたしました。
クレジットカード情報については、自社で管理する場合にはPCI DSSの準拠が必要になりますが、かなりハードルの高いものとなります。
ゴゴジャンでは、「クレジットカード情報の保持をしない」選択を行っています。
「PCI DSS準拠」と認められるには、12の要件に基づき、最大約400の要求事項をクリアする必要があります。一般的に、PCI DSSの初回認証を取得するには多大なコストがかかり、短くても半年、中には数年以上の期間を要することもあります。
ゴゴジャンは現在、SBペイメントサービスを利用。代表の早川社長がソフトバンク出身ということも影響か。
いずれにしても、クレジットカード情報を保持しないことで、カード情報の漏洩という最悪の自体は発生しなくなります。
ゴゴジャン / GogoJungle当時から2年、現状について早川社長へインタビュー(2019年7月)
2019年7月、株式会社ゴゴジャン代表の早川社長にインタビューを行いました。
現状はゴゴジャンとしてどのように対応しているか、また再発防止に向けてどのような取り組みをされているかを聞いていますのでご参考ください。
1. その後のセキュリティ面についてはいかがでしょうか。
まずはお客様に多大なご迷惑をおかけしたことを深く反省し再発防止に注力し続けています。
2017年6月2日に漏洩発覚後、使用していたカード会社指導のもと、カード会社5社(VISAなど)が指定するセキュリティ検査会社による弊社サイト検証を行い問題点をすべて対応しました。
結果、同年12月1日より同カード会社が弊社のセキュリティーが一定のレベルを維持したと判定しカード決済の再開を実施いただきました。
2. 当時を振り返っての反省点や改善点、現在も進めている改善はありますでしょうか。
2017年4月には大手システム会社がカード情報を含め大規模漏洩を起こしていました。
そのニュースに接し対策を講じていれば漏洩は起き得なかったと考えられます。
その事から日々情報をキャッチし必要とあれば即対策しています。また、セキュリティ対策会社と契約し日々サイトの問題がないかスキャン、ウイルスチェックなどを実施しています。
また、ホワイトハッカーによる仮想攻撃テストも行っています。
3. 今後のユーザー、販売者へ一言お願いします。
まとめ 情報漏えい課題は解消済み、現状はホワイトハッカーによる仮想攻撃テストなどセキュリティを強化
2017年に発生した情報漏えい問題ですが、いかがでしたでしょうか。
現在は解決済ということもあり、利用に関しては問題なく使えます。(それでも気になる場合は、コンビニ払いなどもあります。)
FX業界では最大の販売プラットフォームということもあり、当時の反省を踏まえてより安全で安心して使えるサービスを期待しています。
現在のゴゴジャン(GogoJungle)の評判はこちらをご参考ください。
引用元