エライことになっちゃいましたが、
ドコモさん
投稿時点で、66口座:1800万円の被害ということで、
大問題にしては、被害額は少ないのかな?!
(ドコモにしてみれば)
それよりも、信頼度だな。
これで、Dポイントも落ち、PayPayがなお有利感。
***
地銀の口座番号なんて、10万ある?程度に、
4桁の暗証番号。
英数ではなく、【ただの数字】だから、
組み合わせもしれてるし、コンピューター使えば、楽勝で、
その受け皿をになったドコモさん。
要は、「本人確認が十分でなかった」という問題
で、
お客さんから
「うちのECサイトのセキュリティーどうなん?」と。
そもそも問題が全く違うので、
ドコモ口座問題の原因を説明し、あーだこーだの後、
強いて言うのであれば、
カード番号を保有しているので、
ログインさえ出来てしまえば、メアドを変えて、
チケットを発行しまくり、ヤフオクへ。
そして、警察案件へ
という流れですが、
そもそも、これ、不正利用だし、
損害の補填は、カード会社さんがやってくれる(はず)のですが、
一応、2つの対策を追加で行いました。
1. 前回使用した(登録)カードを使用させない
決済モジュールは、決済会社さんからの提供物で、
(決済会社さんの承諾を得て、多少の加工は加えていますが)
「前回使用したカードで決済する」という項目があります。
カード番号は、当サイトでは保管していないものの、
会員IDと紐付いているので、決済は出来てしまうため、
モジュールの仕様なのだから、
決済会社がケツを持ってくれるはずですが、
この機能を、非表示にしました。
2. ブルートフォースアタック対策として、失敗時に遅延。
管理画面は、BASICとの二重ログイン、
IPのロックアウトを実装していますが、
一般ユーザーのログインは、メアドとパスワードのみで、総攻撃は可。
おそらく、AWSが総攻撃と判断してくれているはずですが、
ECCUBE 2.13系からは、標準で、
ブルートフォースアタック対策が実装されています。
知らないですよね~~
だって、標準は、「0」設定だし、、、
検索しても、まったく出てこない。
=大きくは宣ってはいないのだから、、、