▽ NTTカード、電子マネー「ネットキャッシュ」のID約8万件が流出--不正利用も確認 - CNET Japan
http://japan.cnet.com/news/sec/story/0,2000056024,20147208,00.htm

NET CASHのサーバに対して不正アクセスが行われ、およそ8万件のNET CASH IDが流出し、
既に327万円の不正使用を確認した、というもの。

実は今回の事例でNET CASHの存在を知ったのだが、プリペイド形式で「NET CASH ID」なるものを
入手し、このNET CASH IDを認証情報として決済を行う、というもの。
NET CASH IDは、16桁（！）の英数字を組み合わせた文字列らしい。

つまり、1digitあたり62通りの値を持つ変数が16桁なので、たかだか
「47,672,401,706,823,533,450,263,330,816」通りのNET CASH IDしか生成できないと言える。

もちろん、生成可能な全ての組み合わせに、使用可能なNET CASH IDが割り当てられては
いないだろうから一概には言えないが、（全空間からの）NET CASH ID生成ルールが分かれば、
数日コンピュータを回せば十分探索可能な範囲ではなかろうか。
# もちろん生成ルールはトップシークレットだろうけど。

さて、今回の不正侵入は、各ニュースサイトを見るに（確証はありませんが）SQLインジェクションで
DBからNET CASH IDを抜かれたっぽい。仮にそうじゃないとしても、いずれかの方法で
不正入手されたNET CASH IDが短期間で使用されたことから、DBに保持されていた
NET CASH IDは暗号化されず「平文」のまま保持されていた可能性が高そうだ。
仮にそうだとすれば、システム設計そのものが杜撰な面を抱えていたことは否めない。

何より個人的な驚きは、英数字16桁のNET CASH IDのみで認証を行い、決済してしまうこと。
確かにNET CASHサイトには「簡単、便利、誰でも使える」を掲げている。
Felicaなど物理的な認証機構と併用すれば安全性も高まると思うのだが、そこは「簡単」との
トレードオフなのだろう。

いずれにせよ、単なる情報だけではなく（決済情報など）直接的な金銭価値に直結する情報も
インターネット上に集約されつつある。不正アクセスに限らず、これらの情報流出は
金銭的な損害に直結する時代になった、ということを再認識した一件であった。