まず予備知識。

サウンドハウス社が不正アクセスにより個人情報流出　2008/04/18
http://www.soundhouse.co.jp/shop/News.asp?NewsNo=1561

これだけならよくある話かなーで終わるのですが、
この中の詳細PDFにこんな一文が。

>その後、攻撃に参加したハッカーらは、皆マニュアル通りに従って行動したのでしょうか、3Dセキュアを導入しているGungho等のゲームサイトで、抽出したクレジットカード番号と、弊社サイトへのパスワードをマッチングさせて本人確認の認証を潜り抜け、金券、商品を購入し、その後、RMT（Real Money Trade）等のサイトで購入した商品を転売するという手段で、足がつかない形での換金を実行したのです。

なんとガンホーさんの名前があります。
要するにアレですね、クレカ決済によるプレイチケットチャージや
課金アイテム等の購入がこれで出来ていたということですね。

なんで他社で取られたクレカ情報がそのまま利用できるのかと言いますと、
3Dセキュアという認証システムは実は導入している会社であればどこも同じ認証を使うため、
これを導入しているある会社であれば、3DセキュアのIDパスも同時に取得できている場合
どこでも認証をパスすることが出来てしまうそうです。なんてこったい。

そもそもこの会社、DBにクレカ情報を生で置いておいたとか
しかもクラック手段がSQLインジェクションとかなんとまぁなアレですけども
3Dセキュアも一角崩せば総崩れみたいなシステムだとは思いませんでした。

さて。これは聞いた話なのですが、
実は販売企業とカード会社の協定によっては、継続払いなどの契約期間中は消費者からの停止が無い限り
販売会社がカード会社からの支払いを停止することが出来ないそうです。
本当かしら？カード会社によるのかもしれません。

そして、ROのプレイチケットにはクレカによる継続払いのシステムがあって、
この契約は利用者が停止しない限りカード会社からガンホーに入金されて、
ゲームアカウントが自動的に、常に利用できる状態にしているわけです。

と、いうことは。
もしかしてガンホーはクレカ払いの人をBANできないのかもということになります。
もしクレカでBANされたよーという人が居たらこの話はここで終了なんですけども。

規約上、BANした当月分の料金に対しては違反のためにサービス停止しても問題ないはずですが
カード会社からの入金を止められないとなると、停止したアカウントに支払いが発生してしまうわけで、
サービスは提供しないのにお金を取ってしまうことになってしまいます。
そうなると今度はガンホーが法的にマズいわけですね。

というわけで、あからさまに機械的な動きをするアレっぽいものが現れても、
クレカ決済されているとBANするに出来ないとかそういう事情になってしまいます。

もちろんすっぱ抜かれたクレカ番号で利用されることがマズいんですけど
販売会社からしてみれば、受け取ったクレカ番号は正規のものだし
3Dセキュアの認証も通っちゃってるので、信じざるを得ないわけで。

ガンホーさんがいい加減だ何だという話はよくありますし、
確かにそういう側面はあるなぁという印象は私も少なからず持っておりますが、
野放しにせざるを得ない、というのも一つの事実だったのかもしれません。

というわけで、結局のところガンホー社は、敢えて明言しませんがどこかの誰かの
マネーロンダリングの踏み台にされていたことは間違い無さそうで、
その結果としての光り蠢くアレとか露店の大変なソレに現れていたのではないか、と。

加えてこの事件、実は2005～2006年あたりから仕組まれていたらしく、
その頃から顧客情報を抜き出してこっそりクレカ利用していたと見られています。
その頃って、ROはどんなでしたっけ。あまり覚えてませんが。
爆発的な増殖の時期と重なってたとしたらかなり怪しさ大爆発ですね。

とはいえ戸枝事件とかもありましたので、全てがこれで片付く話ではないはずです。

つらつらと語ってしまいましたが、
私の知識が正しいかもわかりませんし私見も入っているので
これだけだとただの陰謀論ですけども、少なくともこのサウンドハウスの事件で
セキュリティの穴というものは、誰にも気付かれないようにゆっくりじっくり搾り取る
という手口が厄介だなぁということは解っていただけるかと思います。

ゆっくり搾取した結果がこれだよ！！！

あと、全然関係ないところで起こったトラブルで
別の人が被害を受けることもあるということも、ポイントですかね。