CtripはUnionPayのCVCコード記録禁止に違反したため重い罰則を受ける可能性がある

Ctrip の「クレジットカード スキャンダル」: システムリスクか、それとも偶発的な操作ミスか

原題: Ctrip の「クレジットカードゲート」: システムリスクか、それとも偶発的な操作エラーか?

インターネット時代においてはセキュリティ問題が大きな問題となり、Ctripクレジットカード事件は再び世界に警鐘を鳴らした。

週末、中国招商銀行のサービス電話番号には電話が殺到した。多くのユーザーが、Ctripで取引をした後にクレジットカードを凍結する必要があるかどうかを尋ねていた。安全上の理由から、多くの人がまずカードを変更してからクレジットカードを凍結することを選んだ。他のユーザーの中には、さまざまなソーシャルサークルで「二度とCtripは使わない」と発言した人もいた。

3月22日夜、脆弱性報告プラットフォームWuyun.comはCtrip.comのセキュリティ脆弱性に関する情報を公開した。脆弱性発見者の「豚男」は、Ctripがユーザー決済サービスインターフェースのデバッグ機能を有効にしていたため、決済プロセス中のデバッグ情報がハッカーに読み取られる可能性があると述べた。 Ctrip の安全な支払いログはダウンロードできるため、カード所有者の名前、ID カード、銀行カード番号、カード CVV コード、6 桁のカード Bin など、大量のユーザーの銀行カード情報が漏洩しました。

なぜこのようなことが起きたのか？Ctripの関係者は21世紀ビジネスヘラルドの記者とのインタビューで次のように語った。「調査の結果、Ctripの技術開発者がシステム問題のトラブルシューティングのために一時的なログを残していたが、不注意により、適時に削除しなかったことが判明しました。現在、この情報はすべて削除されています。」

ある企業のITセキュリティ担当者は21世紀ビジネスヘラルド紙に対し、ディレクトリトラバーサル攻撃の脆弱性を悪用することで、攻撃者はサーバーのルートディレクトリを越えてファイルシステムの他の部分にアクセスしたり、制限されたファイルやリソースにアクセスしたり、さらに危険な行為をしたりすることができると語った。

さらに、Ctrip は CVC コードの記録を禁止する UnionPay の以前の規則に違反した可能性があり、重い罰則を受ける可能性があります。

国際基準

Ctrip でクレジットカード決済を経験したことがある人なら誰でも、初めて使用するときは、クレジットカードの種類、カード番号、有効期限、CVV コード (クレジットカード認証コード) などの一連の情報をすべて入力してから、支払いを送信する必要があることを知っています。ただし、このクレジットカードを Ctrip で 2 回目に使用する場合は、カード番号の最後の 4 桁を入力するだけで、Ctrip が支払い処理を完了します。

CVVはほぼコア情報です。カード番号、名前、有効期限などを報告した場合、販売者はカードが実際にユーザーの手元にあることをどうやって確認できるでしょうか？判断基準は、CCV番号を報告できるかどうかです。何らかの手段でユーザーの名前、ID カード、銀行カード番号、カードの CVV コードなどの情報が傍受された場合、最も深刻な結果は、クレジットカードがこれらのカード情報すべてとともにコピーされ、オンラインまたは実際の店舗での使用に使用される可能性があることです。

実は、CVV コードの保持に関しては、異なる市場で実装されている標準は同じではありません。たとえば、米国では、Target、Bestbuy、Amazon などの企業もクレジットカードでの支払い時に CVV コードの保持を要求していますが、中国では、UnionPay がクレジットカードでの支払いに CVV コードを保持できないことを要求しています。

インターネット時代において、セキュリティは常に大きな問題となっています。 2006 年、決済セキュリティに対応するため、世界 5 大国際カード組織である Visa、Mastercard、American Express、Discover Financial Services、JCB が共同で PCI セキュリティ標準委員会を設立し、カード所有者データを保護するための基本的な技術および運用上のセキュリティ要件、つまり PCI DSS 標準を策定しました。

北京航天易展科技有限公司は、中国における PCI DSS のパートナーです。同社は、VISA および CCB と共同で、2007 年に中国に標準システムを導入しました。

航空宇宙宜展のスタッフは記者に対し、PCI DSSはセキュリティ管理、ポリシー、プロセス、ネットワークシステムの結果など、決済ゲートウェイのセキュリティに関する標準要件を定めていると語った。現在、海外の加盟店は年間取引量に応じて4つのレベルに分かれていると報告されています。第一レベルは、年間取引量が600万件以上の加盟店が必ずこのシステムに接続する必要があることです。第二レベルは、年間取引量が100万件から600万件、第三レベルは、年間取引量が100万件から200万件です。第二レベルと第三レベルの加盟店は、業務コンプライアンスを処理するために関連人員を会社に招待することができ、コンプライアンスを遵守している加盟店は関連レポートを受け取ります。第四レベルは、年間取引量が2万件ですが、これは必須要件ではありません。

現在、中国南方航空、ChinaNetBank、Alipay、99Bill、UnionPayなど、多くの企業やサードパーティ決済会社がすでにこの認証に接続しています。航空宇宙易展のスタッフは記者に対し、例えばアリペイのシステムを導入した際、このシステムに接続するすべての大手小売業者にPCI DSS認証の取得を義務付けたと語った。「当社の仕様は随時更新されます。」

オンライン旅行ウェブサイトの中で、この認証基準を導入しているのはQunarだけです。上記のスタッフは記者に対し、Ctripは以前からこのシステムに接続する予定だったが、同社スタッフが調査したところ、Ctripのシステムは業務の種類が多く、重複部分も多いため、修正が困難であることがわかったと語った。システムを接続して修正すると、アーキテクチャが変わってしまう。

「Ctripがやりたくないわけではないが、自社の技術条件によって制限されている。これはPCIにも規定されており、特別承認を申請できる」。Ctripがビジネスコンプライアンスを達成しているかどうかについては、前述のスタッフは確信が持てないと述べた。

Ctripは記者に対し、この制度は強制的な制度ではないと回答した。Ctripの見解では、この制度はオンライン決済の有無とは関係がなく、単にビジネス認証資格であり、業界参入基準ではなく、何ら問題がない。 「私が食品会社で、ISO9000認証を取得していないからといって、安全ではないと言えるのでしょうか？」

それは体系的な操作ミスですか、それとも偶発的な操作ミスですか?

Ctrip の問題はシステム上のエラーでしょうか、それとも偶発的な操作上のエラーでしょうか?

Ctrip は、新しいインターネット ビジネス向けのシステムであるため、IT システムを完全に自社で構築しました。このシステムは、IBM、SAP、Oracle などの従来の IT ベンダーの経験を超えた、非常に複雑で高度なものです。 Ctripの関係者は次のように説明した。「CtripのITシステムには、ウェブサイトシステム、オンライン取引システム、調達システムなどのサブビジネスシステムが含まれています。複雑さの点で、これに匹敵するのはTaobaoだけです。」

タオバオよりも複雑なのは、これらのシステムでは、航空会社、ホテルグループ、オフラインの観光地などのサプライヤーから購入した商品を即座にサービスソリューションに変換する必要があることです。進歩とは生産性であり、ある意味ではCtripのITシステムはCtripの核心的な競争優位性の1つであると前述の担当者は述べた。

同様の国内電子商取引企業のほとんどは、Taobao、JD.com、Vanclなど、独自のITシステムを構築しています。少数の企業は輸入方式を採用しており、例えば eLong は主要株主である Expedia の海外システムを採用している。中国市場での長期にわたる実践と調整を経て、順応の問題はようやく解決されました。上記の担当者の発言の意味は非常に明確です。Ctrip が遭遇した問題は偶発的なものであり、システム上の欠陥ではありません。

Ctrip のコールセンター モデルでは、偶発的なリスクが発生する可能性が高まります。匿名を条件に取材に応じた業界関係者は、21世紀ビジネス・ヘラルド紙の記者に次のように語った。「カスタマーサービススタッフは電話でユーザーのCVVコードを口頭で尋ねます。クリアコード決済を使用するこの方法は、数万席のうちの1席が金銭を盗もうとするだけで大​​きなリスクを伴います。」

上記の担当者はそうは考えていない。Ctripは、クリアコード決済方法ではなく、音声メッセージシステムを通じてカード番号、パスワード、CVVコードなどを入力し、カスタマーサービススタッフが上記の情報を直接取得することはできない。たとえユーザーが上記の情報を持っていたとしても、クレジットカードを盗んだ場合の罰則は厳しく、法律違反のコストも高くなります。

前述の業界関係者は次のように明かした。「2009年以前、CtripのサーバーはユーザーのCVVコードを保持していませんでした。ユーザーは航空券を購入したりホテルを予約したりするたびにCVVコードを入力する必要がありました。2009年、操作プロセスを簡素化し、顧客体験を最適化するために、Ctripの当時のCEOであるファン・ミン氏は、CVVコードをCtripのサーバーに保持することを決定しました。」

上記の情報筋によると、Ctripの現CEOである梁建章氏は就任後、Ctripのモバイルインターネットとインターネット事業の発展に注力しており、コールセンター業務のこの微妙な変化に気づいていなかったという。

原題: Ctrip は、UnionPay の CVC コードの記録を禁止する規則に違反したため、重い罰則を受ける可能性がある

キーワード: Ctrip、ユーザーのプライバシー、重い罰則を受ける可能性