VPBank と 9Pay は、CIC で発生したサイバーセキュリティインシデントについて何と言っていますか?

9月12日午後、ベトナム繁栄商業銀行（ VPBank ）は、ベトナム国家信用情報センター（CIC）で発生したサイバーセキュリティインシデントに関する通知を発行した。

以前、ベトナムサイバー緊急対応センター（VNCERT）は、個人データ漏洩の兆候を示す初期結果を発表していた。

VPBankによると、CICへのデータ報告は、VPBankを含む銀行が国立銀行の規則に従って行っているとのことだ。VPBankは、一部の重要な顧客情報はCICシステムには送信されず、VPBank内で機密扱いされていることを確認した。

このデータには、電子銀行システムのログイン情報 (ユーザー名、パスワード、生体認証データ)、デビットカードとクレジットカードの情報 (カード番号、CVV/CCC コード) が含まれます。

VPBankの発表によると、同行の電子バンキングシステムはISO 27001やPCI DSSなどの国際セキュリティ基準を満たしており、取引は生体認証、OTP、SmartOTPなど、複数のレイヤーで保護されています。

VPBank によれば、OTP/SmartOTP コードは 1 回限りのデータであり、保存されず、顧客が直接共有した場合、またはデバイスが乗っ取られた場合にのみ開示されるとのこと。

現在、サイバーセキュリティおよびハイテク犯罪防止局（A05）は、国立銀行の機能部門およびサイバーセキュリティ企業と連携して、システムの安全性に対応、検証、確保するための技術的および専門的な対策を展開しています。

VPBankは、お客様に対し、公式情報源からの情報に従い、パニックに陥らず、今回の事件に便乗した詐欺行為に注意するよう推奨しています。犯罪者は今回の事件から直接資産を盗むことはできませんが、この情報を利用してマルウェアを拡散したり、偽のシナリオを作成したりすることは可能であると強調しています。

したがって、お客様は非公式のソースからアプリケーションをインストールしないでください。また、銀行員を名乗る人を含め、誰にも OTP/SmartOTP コードを提供しないでください。

また、このインシデントに関連して、9Pay社は、9Payおよび9Payの顧客のデータをCICに共有または送信していないことを確認しました。したがって、9Payサービスを利用している顧客の個人情報、カード情報、取引データは、上記のインシデントの影響を受けませんでした。

この部門は、9Pay システムが、情報データ保護法に常に準拠し、国立銀行の規制に従ってカード情報のセキュリティを確保するための PCI DSS 標準を備えていること、すべての支払い情報と個人識別情報を暗号化していること、四半期ごとの定期的な評価とレビューのプロセスがあること、毎年国際組織によって独立して評価されていることなど、厳格なセキュリティ対策を適用していることを確認しました。

特に、9PayはPCI DSSレベル1認証を取得しています。これは、PCIデータセキュリティ基準（PCI DSS）の最高水準かつ最も厳格なレベルであり、9Payの決済ゲートウェイを介したすべての取引が国際的なセキュリティ基準に準拠していることを保証します。デジタル決済プラットフォームに特化したフィンテック企業として、9Payは毎日数十万もの顧客と取引にサービスを提供しています。決済データセキュリティの重要性を認識し、9Payは製品およびサービスの運用プロセス全体を通じて、個人データの保存、送信、保護、および使用に関するすべての活動を常に積極的に検証しています。

出典: https://www.vietnamplus.vn/vpbank-9pay-noi-gi-ve-su-co-an-ninh-mang-xay-ra-tai-cic-post1061509.vnp