水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > サンシャイン牧場・決済代行会社のサポートからの情報

サンシャイン牧場・決済代行会社のサポートからの情報

2009年11月4日(水曜日)

サンシャイン牧場・決済代行会社のサポートからの情報

公開: 2009年11月5日10時11分頃

サンシャイン牧場の件ですが、決済代行会社であるゼロのサポートから回答を得たという方が、公式コミュニティにその内容を書き込まれています。

以前のアナウンスに追記されたとおり、今回の話はRekoo側の問題です。が、ゼロ側でもかなり詳細な情報を把握されていて、問い合わせに対してはかなり細かいところまで回答されているようですね。興味深い内容が含まれていますので、一部引用しておきます。

---流れ---

1回目の購入

Kコインチャージページ

クレジット決済会社ページ(メールアドレス、電話番号、クレジット情報入力)

アプリ会社にメールアドレスと電話番号を渡す(クレジット情報は渡さない)

2回目以降の購入

Kコインチャージページ(前回入力したメールアドレス・電話番号の情報をページに持たせる)

↓ ここで専門知識を持った人だったらページに持たせている情報を見れる状態だった

クレジット決済会社ページ(メールアドレス、電話番号の入力不要)

---ポイント---

・今回の件でクレジット決済会社から情報は一切漏洩していない

・現時点で、上記の購入システムは廃止し、2回目の購入以降も1回目の購入と同じように再度メールアドレス・電話番号を入力しなくてはいけない

・今回の件に限らず、不正課金などのトラブルがあった場合は迅速に対応する体制あり

とのことです。

(注意:mixiのページ(外部リンクへとぶ)やページ遷移の際に電話番号・メールアドレス以外にもユニークIDなどを情報に持たせている可能性がありますがややこしくなるので割愛させていただきます)

以上、「サンシャイン牧場」Rekoo トピック 課金サービス開始時の不具合について #192 じゅ~たん☆さんの書き込み より

当初、サンシャイン牧場のKコインチャージ画面では、「新たなクレジットカードを使う」「前回のクレジットカードを使う」のいずれかを選択するようになっていました。

初回の購入前は、Rekoo側のサーバにはメールアドレスも電話番号も登録されていません。この時はそのままゼロ側のサーバにリダイレクトされ、そこでカード番号やメールアドレス、電話番号などを入力します。この課金が完了すると、メールアドレスと電話番号の情報がRekoo側に(おそらく自動的に)送られて、サーバに格納されます。そして「前回のクレジットカードを使う」を選択した場合には、メールアドレスと電話番号の情報を一度「ページに持たせ」てから、その情報をゼロ側に引き渡すという構造になっていた……。

……と、こんな感じであったらしいことが読み取れます。

さらに、別の方がこんな情報を書き込まれています。

■個人情報流出の範囲等

まず、弊社を通じてクレジットカード決済をされたお客様のクレジットカード番号や有効期限の情報につきましては、mixi上での発表にもございますが流出はしておりませんのでご安心ください。

(電話番号/メールアドレスが閲覧できた状態だったと発表)

また、弊社が保有しておりますお客様の個人情報は弊社決済ページにてご入力いただいた下記の情報等となります。

・クレジットカード番号

・クレジットカードの有効期限

・決済時のお電話番号

・メールアドレス

・入力氏名

・その他決済時のアクセス先IPアドレス等

■その他ご質問事項について

今回の一連の報道・発表については、弊社でも確認しておりますが、現時点では技術的な面での詳細は発表されていない状況です。

したがって、詳細についてはサンシャイン牧場の運営者またはmixi側の公式発表をお待ちいただければと存じます。

また、今件については「流出」と記載されているケースもあるかと存じますが、実際には「閲覧可能な状態にあった」という表現が適切でおり、元々存在するデータがまとまって流出したのとは異なる性質がございます。

したがって、  様からいただいたご質問である「誰にきいたら、自分が被害者かどうか分かるのか」という点については、サンシャイン牧場の運営者やmixi側でわかるかどうかも断定できかねる状況でございます。

(現時点では4200人という数字が出てはおりますが、閲覧されてしまった対象のお客様がどの程度いらっしゃるのかは弊社では把握できておりません)

この度はご心配をお掛けしておりますが、何卒ご理解の程、お願い申し上げます。

以上、「サンシャイン牧場」Rekoo トピック 課金サービス開始時の不具合について #204 ゆきさんの書き込み より

「現時点では技術的な面での詳細は発表されていない状況」「詳細についてはサンシャイン牧場の運営者またはmixi側の公式発表をお待ちいただければ」ということは、技術的な詳細を発表する予定があるということなのでしょうかね。被害については、「サンシャイン牧場の運営者やmixi側でわかるかどうかも断定できかねる状況」だそうで。

関連する話題: ゲーム / サンシャイン牧場 / セキュリティ / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングDreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト