JINSのクレジットカード情報漏洩の手口

JINSの「JINS ONLINE SHOP」でクレジットカード決済した約12,000件のクレジットカード番号、名義人名、セキュリティコード、カード有効期限が漏洩した件ですが、ジェイアイエヌの報告を読むと、具体的な不正アクセスの内容としては、購入画面内の「支払方法選択画面」に入力されたお客様のクレジットカード情報が、第三者の外部データベースサーバに送信される内容の改ざんであり、当社で保管していないお客様のクレジットカード情報が外部流出する結果となりました。とありますので、典型的なクロスサイトスクリプティングによる情報漏洩です。いまどきまともな決済サイトならクレジットカード情報をサーバーに保存しないので、WEB画面から入力した情報が別のサーバーに飛ぶようなスクリプトが埋め込まれてしまったと言うことです。
クロスサイトスクリプティングを防ぐにはソースコードを全てチェックして、脆弱性のある箇所に対策（サニタイジング）を埋め込まなければならないので、調査と対応に時間が掛かります。ジェイアイエヌでは調査完了が4月中と言っていますので、対策はその後になるはずです。なお、本人のクレジットカードが悪用されたことが証明されれば、クレジットカード会社から全額補填されますので実害は無いと思いますが、カード番号がブラックマーケットに流れないよう、カード番号を廃棄して新しいカードを発行してもらう必要があります。
JINSの最新情報報告：http://www.jins-jp.com/info.pdf
http://www.e-nekorakuen.net/wp-content/uploads/d3diary/00b6d7511864dfbeede9093bc03351b1ca.gif