毎日の話題：Ctripの決済脆弱性、ユーザーの銀行カード情報を不正に保存している疑い

A5ウェブマスターネットワーク（www.adming5.com）は3月24日、Wuyun脆弱性プラットフォームが先週末、Ctrip.comの支払いログに脆弱性があり、大量のユーザーの銀行カード情報が漏洩する可能性があるというメッセージを公開したと報じた。一時期、Ctripは論争の中心となっていた。

脆弱性の詳細:

ユーザーの支払いを処理するための Ctrip の安全な支払いサーバー インターフェースにはデバッグ機能があるため、ユーザーの支払い記録はテキストで保存されます。同時に、支払いログを保存するサーバーはベースライン セキュリティで厳密に構成されていないため、ディレクトリ トラバーサルの脆弱性があり、すべての支払いプロセスのデバッグ情報がハッカーによって読み取られる可能性があります。いわゆるトラバーサルとは通常、特定の検索ルートに沿ってツリー内の各ノードを 1 回だけ順番に訪問することを指します。この脆弱性は「機密情報漏洩」に分類されており、氏名、身分証明書、銀行カード番号、カードCVVコード、6桁のカードBinなど、Ctripユーザーの大量のカード所有者情報が漏洩する可能性があるとされている。

CVV はカード検証値の略で、カード番号、有効期限、サービス制約コードから生成される 3 桁または 4 桁の番号です。通常、カードの磁気ストライプのトラック 2 のユーザー定義データ領域に書き込まれます。パスワードなしの支払い方法はクレジットカードの「オフライン取引」とも呼ばれ、カード番号やCVVコードなどの情報だけで支払いが完了できます。専門家は、CVV セキュリティ コードはクレジットカードの「第 2 のパスワード」に相当するものであり、適切に保管する必要があることを注意喚起しています。

ニュースが発表された後、Ctrip.comは直ちに技術調査を開始し、ニュース発表から2時間以内に問題を修正しました。 Ctripは、影響を受ける可能性があるユーザーは3月21日と22日に取引を行った一部の顧客であり、脆弱性により対応する財産的損失を被ったユーザーは確認されていないと述べた。 Ctrip は脆弱性情報を提供した方に多額の報奨金を提供するとともに、この脆弱性インシデントに関して新たな進展があれば引き続き報告します。

この事件は起こるとすぐに、広く注目を集めました。これは個人情報の漏洩だけではなく、銀行カード情報、ID番号、銀行カード番号、CVVコード、6桁のカード番号などの情報も漏洩するからです。キングソフト・アンチウイルスのセキュリティ専門家、李鉄軍氏は、中国新聞社ITチャンネルのインタビューで、CtripとWuyunが公開した情報から判断すると、Ctripユーザーのプライバシー漏洩のプロセスは完全には確認できないが、その結果生じるユーザーのセキュリティリスクは非常に大きいと述べた。 「クレジットカード詐欺の可能性に加え、ユーザーに関するこうした情報を知ることで、第三者の支払いアカウントを作成し、クレジットカードを紐付けて海外での購入も可能になる可能性がある」。クレジットカードにはオフライン決済と呼ばれる決済機能があり、ユーザーの基本情報とCVVコードさえ知っていれば、これを使って支払いができることが分かっている。

この脆弱性の原因については、なぜCtripがユーザーの支払い記録をテキスト形式で保存しているのかと疑問視する声が多く寄せられている。一部の専門家は、Ctripが顧客の銀行カード情報を保存していることはUnionPayの規定に違反しており、PCI-DSS（サードパーティ決済業界のデータセキュリティ標準）ではCVVの保存は許可されていないと規定されていると述べた。

支払い処理中にウェブサイトがユーザー情報を保護する方法に関する関連標準は、国内外に複数存在します。国際的に最も権威のある標準は、PCI-DSS (サードパーティ決済業界データセキュリティ標準) です。この標準認証に参加する企業は、PCI 認証で要求されているように、厳格な年次セキュリティ評価と四半期ごとの ASV 脆弱性スキャンを受ける必要があります。しかし、中国では積極的にこの認証を取得しているウェブサイトは少なく、昨年末にはCtripでPCI-DSS認証ロゴが見つからなかったとの報道もありました。

業界の巨人であるCtripがこのような低レベルのミスを犯すのは本当に不適切です。どのような業界であっても、顧客の利益が最優先であることを忘れないでください。これは競合他社にとってのチャンスとなる可能性があるため、ブランド広報をしっかり行うよう注意喚起します。

関連記事:

Ctripは支払いログの脆弱性にさらされ、ユーザーのクレジットカード情報が漏洩した。

Ctripユーザーの方は、頭上のセキュリティの暗雲に注意してください

Ctripの「秘密漏洩」は中央銀行の監督の正当な理由となる

Ctripは、ユーザーの銀行カード情報を違法に保存する決済の抜け穴を暴露し、質問を受けた。

Ctripの脆弱性は、インターネット業界全体のセキュリティ意識の低さを露呈している

A5 Webmaster Networkは、インターネット起業家や企業のウェブサイト向けに、ブランドプロモーションソリューション、SEO診断とコンサルティング、電子商取引サービスを提供しています。（詳細については、http://www.admin5.com/qiye/をご覧ください）A5 Webmaster Network公式WeChatアカウント：iadmin5

原題: 日刊トピック: Ctrip 決済の脆弱性、ユーザーの銀行カード情報を不正に保存する疑い

キーワード: Ctrip、支払い抜け穴