※本ページはプロモーションが含まれています

IT小僧のブラック時事放談 ほぼ毎日 ヤバいセキュリティ情報

中国企業に決済システムの開発依頼をしているネットサービスをあなたは信用できますか?

企業名は伏せます。

仮にD社としましょう。

D社は、中国国内で決済システム(キャリア決済、クレジット決済)を保守・開発しているという情報が入ってきました。
保守、開発をしている人は、日本語が話せない中国人(南京拠点)です。

今回のIT小僧のブラック時事放談は、
中国企業に決済システムの開発依頼をしているネットサービスをあなたは信用できますか?
と題して 開発費用が安いという理由で個人情報を取り扱う企業を国外にしているという怖いお話です。

最期まで読んでいただけたら幸いです。

スポンサーリンク

LINEヤフー、個人情報流出問題

LINEヤフー、個人情報流出発表しました。

LINEヤフーは27日、同社のサーバーが第三者から攻撃され、LINEアプリの利用者情報など約44万件が流出した可能性があると発表した。大株主である韓国ネット大手ネイバーと一部システムを共通化していたことが一因だ。過去にもLINEの利用者情報を中国の関連会社が閲覧できた問題が起きており、情報管理体制が改めて問われる。

続きはこちらから👇

日本経済新聞
https://www.nikkei.com/article/DGXZQOUC270BU0X21C23A1000000/
2023年11月28日(火)

LINEは、多くの自治体が市民との連絡として使用しています。

情報流失、サーバー設置場所など多くの問題点が指摘されてきました。
今回の事件は、指摘されていたことが解決していなかったことが露呈してしまったという状況です。

私たちのLINEでの情報は、いわば中国政府に握られていることと同義語です。
クレジットなどの情報は盗まれていないという「発表」ですが、実態はどこまで盗まれていたかわかりません。

アプリのプロフィル情報にある氏名などを第三者が閲覧できる可能性があるものもある。
利用者の性別やLINEスタンプの購入履歴 とありますが、会話の内容も見られているのではないか?
と疑ってしまします。

LINEについては、以前記事にしたことがあるので見ていただければと思います。

LINEを切らない役人や国会議員、地方自治体を信用してはいけない。

For nothing causes regret and remorse except irresolution. 不決断こそ最大の害悪。 デカルト(René Descartes) 最初から守る気の ...

続きを見る

決済システムを中国国内で開発・保守

以前、このブログ上で 中国企業に決済システムを丸投げしている企業について記事にしました。

クレジットカードを取り扱う決済システムを中国企業に丸投げ 危険な会社の話 甘すぎる日本のセキュリティ

Teitterのセキュリティ部門に中国工作員が勤めていた というニュースが流れています。 「Twitterのセキュリティチームには中国の工作員がいる」「経営陣は安全より利益を重視」などを内部告発者が議 ...

続きを見る

今回、「LINEヤフー、個人情報流出発表」という問題に対して、その企業がその後どうなっているのか追加情報です。

開発会社が中国国内

企業本体は国内にありますが、開発拠点は中国国内で日本語が話せない中国人が担当しています。
開発ということなのでデータベースの情報を触ることもできるし、決済の仕組みも彼らは把握しています。

データベースの問題はさておき、問題は、「決済の仕組み」も彼らに公開しているということです。

極端な話

「仕組みさえわかれば不正取引などできてしまうでしょう」

さらにデータベースを覗けるとしたら、いくらでも操作可能となります。

国内の開発拠点ならばパソコンのアクセス履歴を追いかけることもできますが、中国国内となると開発会社のコントロールは大丈夫なんでしょうか?

国家間で紛争になったとき

もっとも危惧されることは、国家間で紛争になった場合、彼らの取得している個人情報を使ってサイバーテロを仕掛けてくるということです。

クレジットカードが漏洩していたとしたら、簡単にお金に変えることができます。

もっと問題なのは、少額決済をこっそりやられていて気づかない場合です。
クレジットカードの場合、最悪保険の適用もありますが、キャリア決済の場合、どうでしょうか?
クレジットカードほどきちんと管理していない人も多いような気がします。

気がつかないうちに毎月数百円ずつ引かれていても気づかない場合、キャリを変える等しない限り 永遠と引かれ続けられます。

もっとも
契約を忘れてほしいというビジネス」
なんて未だに存在しているので「中国が問題」とは一概には言えません。

ポイントで客を釣り 解約忘れを期待する 悪徳コンテンツプロバイダーにご注意下さい

自分が使ってもいない契約をしていないか確認することが大切です。
使ってもいないサービスにカネを払う必要はありません。

続きを見る

開発会社は南京

「決済システムを中国国内で開発している会社」なんですが、実働部隊(開発者)は、中国の南京で仕事をしていることがわかりました。

プロジェクトマネージャーは、日本の人で開発と保守が中国国内という体制です。

別に中国で開発しようがベトナムで開発しようが、問題ではありません。

お金を取り扱わないネットサービスや決済は、サブスクリプションサービスを使うというようなところなら問題はないと思います。

しかし、クレジットはともかくキャリア決済を自社で展開しているとなると ちょっとやばいよね
なぜかというと

クレジットと違ってキャリア決済の詳細をチェックする人が少ないからです。

本当に怖いのはこれからだ

個人情報など ネット企業の多くが入手済みなのでいまさら感もありますが、射手が中国となると国家間に軋轢が生じたときに 得られた個人情報を何に使うかわかりません。
ここがもっとも怖いところです。

戦争状態になれば、経済活動をターゲットにして工場、港湾、インフラ、公共施設などをターゲットにされると同時に 資金調達をネットから行う可能性もある。

また、個人情報をネットを通じて売り買いされる可能性もある。

LINEの会話履歴を覗かれてはいないのだろうか?

問題は企業体質

根本的な問題として

「中国企業に決済システムを丸投げする」

という企業体質に問題があります。

オフショア開発が問題ではなく、お金と個人情報を扱うシステムを中国に丸投げするのはどういうことなのか?

中国人だからという差別ではありません。
国家体制でシステムと個人を把握している政治体制が個人情報の行方を危うくしているということである。

なぜなら 中国国内のあらゆるサーバー、個人情報はすべて当局が「いつでもみることができる」という社会だからです。

監視社会

個人データをさらけ出すのは非常に危険ということです。

中国人だからということで言ってはいません。
国家体制が個人情報を自由に扱える国だからです、

中国の法律を見てみよう。

  • 国家情報法(National Intelligence Law)第7条:中国すべての企業と国民は、中国の諜報機関に協力しなければならない、又、すべての国家の秘密を保護しなければならない。
  • 国家安全法(National Security Law)77条:中国の国民と企業は、中国の政府や諜報機関から要求されたら何でも提供しなければならない。
  • 2016年のサイバーセキュリティ法(Cybersecurity Law)第28条:すべてのネットワーク事業者は、国家、軍、または公安当局にデータを提供しなければならない、又、要求されたものは何でも提供しなければならない。

つまり、中国にシステム開発を発注するとすべてのデータを提供しなければんらない
ということになります。

まとめ

問題のD社ですが、データの修正をしてくれていないようです。
現在、社員が主導でデータを修正しています。

理由はわかりませんが、仕様がわからないのでやらない

と言っているそうです。

言葉も通じないしどうしようもない と担当者は呆れています。

チャイナリスク 自社だけは大丈夫だろう?

なんて考えている会社産多いと思いますが

それでもあなたは、中国にシステムを発注できますか?

-IT小僧のブラック時事放談, ほぼ毎日 ヤバいセキュリティ情報
-, ,

Copyright© IT小僧の時事放談 , 2024 All Rights Reserved Powered by AFFINGER5.