検索キーワード「ダイナース」に一致する投稿を日付順に表示しています。 関連性の高い順 すべての投稿を表示
検索キーワード「ダイナース」に一致する投稿を日付順に表示しています。 関連性の高い順 すべての投稿を表示

【セキュリティ事件簿#2024-304】バリューマネジメント株式会社 「祇園祭観覧席付ご宿泊プラン」募集において 個人情報が閲覧可能な状態になっていた事象について 2024/7/11

 

この度、バリューマネジメント株式会社が企画し、三井住友トラストクラブ株式会社がダイナースクラブ会員様にご案内した「祇園祭観覧席付ご宿泊プラン」に申込フォームを通じて、応募された会員様の個人情報が閲覧できる状態になっていたことが判明しました。対象となるお客様および関係者の皆様にご迷惑とご心配をおかけする事態となりましたことを、深くお詫び申し上げます。

■概要

令和6年7月6日(土)ダイナースクラブ会員向けにご用意した「祇園祭観覧席付ご宿泊プラン」をご覧になったダイナースクラブ会員様より、三井住友トラストクラブ株式会社宛に、抽選応募フォームにて他の応募者の個人情報が閲覧できる旨の連絡が入りました。

令和6年7月8日(月)午前、三井住友トラストクラブ株式会社より当社へ報告と調査依頼の連絡が入り、応募フォームの調査を進めた結果、弊社のフォーム設定の不備により、フォーム編集ページにアクセスでき、他の応募者の個人情報(応募者が応募時に入力した名前、メールアドレス、電話番号)が閲覧出来る状態になっていました。

該当の応募フォームはすでに削除いたしました。

■閲覧可能であった個人情報と期間

・応募者333名の氏名、電話番号、メールアドレス

・令和6年6月14日(金)14時30分から、7月8日(月)午前10時半頃

■原因

今回、オンラインフォーム作成ツールにGoogleフォームを使用し抽選応募受付を行っております。 お申し出いただいた⽅の内容を拝⾒し、第三者では閲覧できないはずのフォーム編集ペー ジが閲覧可能になっており、申込フォームの設置(フォーム編集ページのアクセス権限の設定)に不備があったことが原因と考えられます。

■今後の対応

再発防⽌のため、より⾼いセキュリティ対策が施されたフォームシステムの利⽤、 フォーム作成・個⼈情報関連を扱う業務におけるマニュアルの改善、ならびに当社従業員 全員に向けて個⼈情報保護及び情報セキュリティポリシー等の周知徹底に務めてまいります。

リリース文アーカイブ

GDPR遵守の失敗事例:ブリティッシュ・エアウェイズ


データ流出により2億3800万ドルの罰金に直面し、流出そのものは罰金の主な理由ではないと言われることを想像してみてください。2018年のデータ流出で約50万人の顧客の個人データが流出したブリティッシュ・エアウェイズに起きたのは、まさにそのような事態でした。

英国の情報コミッショナー事務所(ICO)による情報漏洩の調査は、同社が欧州の一般データ保護規則(GDPR)に違反したと結論づけた。武漢ウイルス(COVID-19)の大流行に起因する緩和要因により、最終的に罰金は2600万ドルに減額されましたが、英国の規制当局は、ブリティッシュ・エアウェイズが情報漏洩を防止するために必要なクライアント側のセキュリティ保護を備えていなかったことが、この罰金の大きな原因であると述べています。

2018年6月22日、サイバー犯罪者は、ブリティッシュ・エアウェイズの第三者サプライヤーの1社に発行されたリモートアクセスゲートウェイのログイン認証情報を侵害し、ブリティッシュ・エアウェイズの内部ネットワークにアクセスすることができました。これは6週間近く発見されないままでした。

そこから攻撃者は、サーバーに平文で保存されているログイン情報を使用して、ドメイン管理者アカウントへのアクセス権を獲得しました。その後、攻撃者はBAの公開ウェブサイト(BritishAirways.com)上のJavascriptファイルを編集し、顧客の支払いカードデータをサイバー犯罪者が管理するドメイン(BAways.com)にリダイレクトさせるようにしたのです。その後15日間、旅行者がブリティッシュ・エアウェイズのウェブサイトに決済カード情報を入力するたびに、そのコピーが攻撃者に送信されました。

2020年10月16日に発行されたICOのペナルティ通知書によると、攻撃者は約42万9612人の個人データにアクセスした。
  • BA顧客の氏名、住所、カード番号、CVV番号:244,000人
  • カード番号とCVV番号のみ:77,000人
  • カード番号のみ:108,000人
  • BAの従業員および管理者アカウントのユーザー名とパスワード、およびBAエグゼクティブ・クラブアカウントのユーザー名と暗証番号:最大612件
ICOは、BAがGDPRに基づく義務を遵守しなかったと判断しました。「BAは、適切な技術的および組織的措置を用いて、不正または違法な処理に対する保護、および不慮の損失、破壊、または損害に対する保護を含む、個人データの適切なセキュリティを確保する方法で個人データを処理しませんでした」と、処罰通知には記載されています。

ブリティッシュ・エアウェイズには多くの失敗がありましたが、その中でも特に、パートナーのエコシステムを可視化できていなかったことが挙げられます。GDPRの遵守を考えるのであれば、この可視性を確保する必要があります。Webサイトのパートナーの通常の行動を監視・管理するだけでなく、クライアントサイドの攻撃を成功させるためのベクトルとしてパートナーが利用されないようにする必要があります。

サイバー犯罪者は、Javascriptの脆弱性を利用することが多くなっています。この脆弱性は、スクリプトの出所に関係なく、すべてのスクリプトに、アクセスや作者の権限、Webページの変更、フォームを含むすべての情報へのアクセス、さらにはキー入力の記録や保存などの制御を同じレベルで可能にするものです。これもブリティッシュ・エアウェイズの攻撃における大きな要因でした。

BAは、攻撃中に発生したような悪意のある行為を検知するための対策、特にファイル整合性監視を導入することができたはずです。この種の監視は、組織のコードに加えられた変更をシステムが検出し、警告することを可能にします。攻撃者がコードを変更することを止めることはできませんが、変更が行われたことを検知し、それが不正なものであるかどうかを確認することができます。

BAは、手動による変更管理コントロールを確立していました。つまり、従業員がBAのウェブサイトに何らかの変更を加えたい場合、正式な変更管理プロセスを経て、その変更の承認を得る必要があったのです。しかし、BA社には、ウェブサイトのコードに対する不正な変更を検知するセキュリティ技術がありませんでした。この例では、BAは第三者からウェブサイトのコードに重大な変更が加えられたことを警告されただけだった。

英国の規制当局は、ブリティッシュ・エアウェイズがオンライン決済の際に消費者を保護するためのPCIデータ・セキュリティ基準(DSS)を遵守していなかったことも指摘した。罰則の通知では、BA社が重要なシステムファイル、設定ファイル、コンテンツファイルやスクリプトの完全性を検証できていないことが具体的に指摘されています。最近導入されたPCI DSS 4.0では、クライアント側のセキュリティに明確に焦点が当てられていることに留意する必要があります。



迷走するダイナースクラブに未来はあるのか!?


サービスの劣化が続くダイナースカード。

2020年2月のマイル積算率の変更を受け、自分はすでに解約済みだが、私が勝手に師匠と呼んでいる内藤忍さんも解約を検討している模様。


やはりマイル積算率の改悪を受け、カード解約者が続出しているのだろうか?

ポイントサイトでは高額ポイントを餌に入会キャンペーンを連発している模様。

ただ、マイラーとして持つメリットが薄くなってしまったカードを、陸マイラーが群がるポイントサイトで募集しても、すぐ解約されてしまい、広告宣伝費の浪費になったりはしないのだろうか?

内藤さんは後継のカードどこにするのだろうか?

「同じ年会費13万ならアメックスプラチナにする」って言ってたな。

ちなみに、自分もアメックスプラチナである。

正しくは、「セゾンプラチナ・ビジネス・アメリカン・エキスプレス・カード

所謂プロパーカードではなく、提携カードである。

年会費は2万円と、本家プラチナの半額以下である。

にもかかわらず、プライオリティ・パスはちゃんと付帯している。

また、「セゾンマイルクラブ」に加入し、「セゾンクラッセ」を使い倒すことで、JALマイルへの還元率を1.25%にすることができ、JALカードよりもマイル還元率が高いカードにすることができる。

ちなみに年間200万円決済すると、年会費が半額の1万円になる。

カードをステータスで選ぶ時代は終わりました。

カードは中身で選びましょう!

謹賀新年

あけましておめでとうございます。

正月三が日は実家に帰り、のんびり過ごしていました。

最近の定番は大みそかに『ガキ使』を見て、

元旦に『芸能人格付けチェック』を見て、

2日、3日に箱根駅伝を見て正月休みが終わる感じ。

そんなわけで2020年がスタートしました。

今年は東京オリンピックがあるので、普通ならワクワクするところなのですが、仕事柄オリンピック閉幕までピリピリした感じになりそうで、9月までは余り幸せな感じがしない見込み。

従って今年の前半は旅行も自主規制する見込みで、今年の後半や2021年に向けていろいろ計画を練る感じにしようと思っています。

まずはマイルの現状整理から。

【JL】96,088マイル

JALは2018年にワンワールド特典航空券を発券(旅は2019年)したので、2019~2021年かけて再び12万マイルを蓄積する予定なのですが、JALに移行予定のその他ポイントが積みあがっており、2020年末には12万マイル達成の見込み。

【DL】65,701マイル

通称スカイペソ。期限無いので、のんびり貯め続ける予定。今月ダイナースカードの解約を予定しており、貯まったポイントはスカイペソに移行予定

【BA】16,573Avios

昨年改悪してしまい、東京-大阪間が片道6000Aviosになってしまった。
4500Aviosの時代はかなりお得感があったのだが、そうでもなくなってしまった。
今後は12,000Aviosを常にキープしておき、有償航空券にしたほうが良いのか、
Aviosで発見したほうが良いのか都度検討する感じかな。

【A3】32,500マイル

タイによく行くので、エーゲ航空のマイルを活用しようとひそかに貯めていたのだが、昨年末いきなり改悪してしまった。今年中にサクッとつかって引き上げたい。。。

【G3】32,500マイル

大韓航空と提携していて、うまく使いこなせるとお得にビジネスクラスに乗れるかなと思っていたのだが、なかなか機会が無い。。。

A3の改悪が痛かった。。。今年はAAやASのマイレージに手を出していければとひそかに画策中。

色々な意味でスピード感が課題かな。

セゾンプラチナ・アメリカン・エキスプレス・カード


ダイナース撤退に伴い、いくつかカードを検討してみたのだが、このカードに入会することにした。

ちなみに検討したカードは下記2カード

■スターウッド プリファード ゲスト アメリカン・エキスプレス・カード

マイラー界隈では超有名なカード。

マイル還元率は最大1.25%

完全に価値観の問題になるのだが、個人的には継続ボーナスのホテル無料宿泊特典には興味が無い。

というか、継続ボーナスを得るために選択肢が狭められる感じがイヤ。

そのため、どうしても3万円超の年会費が高額に感じる。

あと空港ラウンジが使えない点もマイナス。

残念ながら価値<価格のカードという判定に。。。

■JAL JCBプラチナカード

マイル還元率は1%

プライオリティパスが付帯するのだが、こちらはSPGアメックスカード並みに年会費が高額。

ゴールドカード以上のメリット(マイルの有効期限が伸びたり、マイル還元率が上がったり・・・)があれば考えるのだが、最後の一押しが無い。

こちらも残念ながら価値<価格のカードという判定に。。。

双方の欠点を補う感じなのが「セゾンプラチナ・アメリカン・エキスプレス・カード」だった。

年会費は2万円(年間決済額が200万を超えると半額)

マイル還元率は最大1.125%で、SPGアメックスには負けるが、JALカードよりもいい。

プライオリティパス付帯。

個人的には価値と価格が一致したカードだと思った。

そういえば、最近セゾンカードでカードで株式の積み立てができるようになったらしい。

セゾンカード 永久不滅ポイント⇒JALマイル レートアップキャンペーン(2019/11/1~2019/12/31)


セゾンカードで永久不滅ポイント⇒JALマイルへの移行で、レートアップキャンペーン実施中です。

永久不滅ポイント200ポイントを1口に、通常は500マイルのところ、もれなく1口ごとにボーナスマイル100マイルをプレゼント。

キャンペーンエントリーが必要です。

ボーナスマイルは、2020年3月下旬頃の積算を予定する。

ダイナースカード撤退に伴うカード見直しで、セゾンカード( セゾンプラチナ・ビジネス・アメリカン・エキスプレス・カード)を検討中。

基本1.25%でマイルが獲得できるが、今回みたいなレートアップキャンペーンがあるとJALカードよりお得なのではと感じ始めている。

唯一のネックはカチッとはまるキャンペーンが行われていない事。

背中を押すキャンペーン希望中!!

【ダイナース撤退】「ダイナースグローバルマイレージ」サービス改定のご案内

本日、残念なお知らせを発見してしまった。

「ダイナースグローバルマイレージ」のマイル移行レートおよび年間移行マイル数の上限が2020年2月1日から変わるらしい。

その詳細は下図参照


年間移行上限はいいとして、移行レートが1:1から2:1に改悪されている・・・。

さすがにANAは大量の解約発生を恐れて対象外にしているようだ。

駄菓子菓子

自分はダイナースのポイントはデルタスカイペソに移行するつもりでいたので、被害甚大である。

少数派だと思うが、自分はANAのマイルは貯めていないのである。

JAL修行で解脱してJGC会員になってからは、ANAとは袂を分かちあったのである。

んじゃ、何故デルタスカイペソなのかだが、、、

昔々、持っているだけでデルタのゴールドメダリオンになれる魔法のクレジットカードがあり、その延長線上でスカイペソがあるから貯めているだけの話である。

次に何故に高額な年会費のかかるダイナースを持っているのかということなのだが、、、

これも昔々、まだシティバンクが日本にあった時代、年間30万円決済すると年会費が無料になるクレジットカードがあり、この特典に魅力を感じて持ち続けているだけの話である。

マイルはJALがメインであることと、ダイナースのポイントは無期限なので、いずれJALマイルに移行できる日が来ることを夢見ていたのだが、残念な結果になってしまった。

サービス改定を踏まえてとる行動は一つ。

ダイナースカード撤退(解約)

である。

撤退までのステップ

1.ダイナースカードで決済している定額払い物のカード情報の変更

2.ダイナースポイントのデルタスカイペソへの移行

3.カード解約

期限は2020年1月末まで。

早速ステップ1を進めよう。。。