先日アプラスからリリースがありましたが、アプラス発行のクレジットカード会員のログインIDとパスワードが外部に流出しました。本案件は、親会社である新生銀行が外部委託している業者に渡していたデータに、会員が設定していたIDとパスワードが含まれていたという話になります。
このたび、弊社が提供するクレジットカード会員様向けマイページ(「NETstation*APLUS」、以下、「NSA」という。)のスマホアプリをご利用されたお客さまについて、ログインした際の ID・パスワード(以下、「当該 ID・パスワード」という。)を、親会社である株式会社新生銀行が Web 解析を委託する事業者 2 社(以下、「当該委託先」という。)に対し、弊社が誤ってデータ提供を行っていたこと(以下、「本事案」という。)が判明いたしました。
これまでの調査の結果、本事案の対象となるお客さまは約 48 万名です。当該委託先に対しては、業務委託先としての厳格なデータ管理を求めており、当該委託先からさらに外部へ流出した形跡はなく、二次流出の可能性は極めて低いものと判断しております。また、本事案に関連すると思われる不正利用等は確認されておりません。
https://news.aplusfinancial.co.jp/news/down2.php?attach_id=1756&seq=110010029&category=1498&page=100&access_id=10010029
パスワードを平文で保存する意識の低さ
リリースを読み解くと、「流出したパスワードが暗号化されていたために心配がない」という趣旨の記載が一切ないので、平文ままのパスワードが流出したことはほぼ間違いないでしょう。同社は二次流出の可能性は極めて低いと主張していますが、そもそも暗号化されていないパスワードを持ち出せる環境であることが、金融サービスを提供する企業として言語道断な話です。
当該システムが改修されるという話もないため、今もパスワードが平文で保存される状態に見えます。今後のリスクを考えると、安心してアプラスカードを使えないと個人的に思っています。
ラグジュアリーカードの会員としても厳しい
私はラグジュアリーカードのブラックを保有していますが、同カードもアプラスと提携してサービスを提供しています。年会費が高い所謂ステータスカードに属するカードで、ある程度の所得や資産を持った人が保有するクレジットカードになります。
こういった致命的なセキュリティの欠陥を見せつけられると、持っていること自体が悲しくなってきます。そもそも会員メニューやお知らせメールがアプラスのシステムそのままで、アメックスやダイナースに比べるとチープさを否めなかったのですが、こういった事態が起こってしまう体質であることは受け入れ難い話です。
SBIの新生銀行に対するTOBはどうなるか
この件がTOBへ与える影響はほとんどないでしょうが、現在の状況ではSBIが新生銀行を傘下に収める可能性は高いです。買収されると新生の子会社であるアプラスも、SBI傘下のカード会社と合併するなどの話になっていくと思われます。そうなると今のシステムは大きく改修され、ユーザーの利便性が大きく向上するのではないかと思います。
ソニーやセブン&アイグループが新生側のホワイトナイトとして登場するかもしれないといった話がありますが、どちらにせよ新生は単独のままで生きていくには厳しい現状です。そもそも今回のSBIによるTOBの発端は、新生がSBIを蔑ろにして(SBIのライバルである)マネックス証券と提携したことですが、資本力で勝るSBIにマネックスは太刀打ちできないように思います。
つい先日マネックスカードが発行されましたが、もしかするとこのカードは短命に終わるかもしれません。また、SBI(住信SBIネット銀行)はJCBとの提携でミライノカードを発行しています。新生の買収に成功した場合、SBIのクレジットカード情勢にも変化があるかもしれません。
私の専門分野(もちろん本件には一切関与してませんが)でもありますので、新生 vs. SBIのガチンコTOB対決の行方は非常に気になっていますが、クレジットカード好き/ラグジュアリーカードホルダーとしても本件の決着には目が離せません。やはり、クレジットカードは発行元が大事だなと再確認した事例です。