アクセサリー通販サイトから個人情報流出、クレジットカードのセキュリティコードも流出した可能性 26
ストーリー by hylom
なぜセキュリティコードを保存するのか 部門より
なぜセキュリティコードを保存するのか 部門より
アクセサリーのネット販売を行っているサイト「THE KISS ONLINE SHOP」が不正アクセスを受けた。これにより、最大で20万人の顧客情報が流出した可能性があるという(NHK、運営会社によるお知らせとお詫び)。
流出した可能性があるのは、2016年1月16日から2016年3月2日までに同サイトでクレジットカード決済を利用した顧客537件の氏名およびクレジットカード番号、有効期限、セキュリティコードと、会員登録された顧客情報最大199,709件(ユーザーIDおよび暗号化されたパスワード、氏名、住所、電話番号、メールアドレス等の登録情報)。
2月10日に不正アクセスの痕跡が確認されたため調査を行ったとのこと。さらに2月24日に不正アクセスの犯人と見られる者から顧客情報を盗んだ旨が記された英語のメールが届いたという。
なんでセキュリティコードを保存しておくかな (スコア:2, 興味深い)
セキュリティコード [wikipedia.org]
米国のVISAの場合、「架空のカードによる取引」を防ぐため、顧客からコードを伝えられたショップ側は、
信用照会と取引が正常に終わればセキュリティコード情報を廃棄することを義務づけられている。
「米国の」とあるが、この扱いは何処でも同じだろう。
このショップは契約違反の行為を行っていたわけで、被害が出てもクレジットカード会社はケツを持たないだろうし、
以後カード会社と契約結べなくなるんじゃないの。
Re:なんでセキュリティコードを保存しておくかな (スコア:2)
PCI DSSでも規定されてますね。
PCI DSSの概要 -PCI DSSの12要件を読み解く-
http://www.intellilink.co.jp/article/pcidss/02.html#IN03 [intellilink.co.jp]
センシティブ認証データをオーソリゼーション後に保持しないこと、
カード会員データは必要最低限の量、必要最低限の期間のみ保管し、かつ安全に保管すること
各種ISOのように、「取得するときだけ形を見せときゃいいか」みたいな意識なんでしょうかね。
--------------------
/* SHADOWFIRE */
Re:なんでセキュリティコードを保存しておくかな (スコア:1)
セキュリティコード無しでクレカの決済を通すのは、出来ないことはないが通常よりも審査が厳しく、決済エラーになることがある。
そこで、セキュリティコードを入力させるわけだが、世の中には「ユーザに入力させる手間を増やせば増やすほど客は離れていくので、できる限り簡単にするのが望ましい」等と言う事を言って回るシステム屋がいる。ワンクリックで決済出来るAmazonはあんなにはやってるじゃないカー、とか。
その2つを両立するには、カード番号と共にセキュリティコードを保存しておき、ユーザは意識していないが、裏でセキュリティコードも送信しているという事をやる。そのためには保存しておく必要があるというわけだ。
ここがこれをやっているかは知らんけども。
もうセキュリティコードなんて中途半端な仕組みをやめて、オンライン金融決済には3Dセキュアを義務化するぐらいしたほうがいい。
Re: (スコア:0)
継続取引用の再与信の仕組みを小売店の販売で使っちゃってる、と言う規約違反の告白でしょうか。
それとも都度換金系の事情を知らないのに自分の知ってることがすべてだと勘違いして煽っちゃった残念な人でしょうか。
Re: (スコア:0)
通販サイトの話なのに何言ってるんだお前
Re: (スコア:0)
ほんと、こういう契約違反を一度でも犯したところは契約破棄して二度と契約しないで欲しい
セキュリティコードなんて保存しておく必要性なんてないのになんで保存したがるかね
Re: (スコア:0)
システム屋(の中の人)が何も考えずにそのように作っちゃうのだろうか。
それとも、システムを発注する側がそのように要求するのだろうか。
Re: (スコア:0)
用意されているインタフェースを使って決まった手順で組み込めばいいだけなのに、腕の悪いシステム屋はそういうのを面倒臭がるんだよね。
プロトコルに正しく準じるスマートな処理なんて作れないの。
だから、なんでもかんでもローカルに保存したがる。
(たぶん暗号化もしていない)
保存してないかも (スコア:0)
> なんでセキュリティコードを保存しておくかな
http://blog.tokumaru.org/2016/03/blog-post.html [tokumaru.org]
を見ると、THE KISS ONLINE SHOP は、
「フォーム改ざんが攻撃経路と思われる」
「決済代行」は「使用」
と記されてます。
「思われる」ですから、確定ではないですが、徳丸氏の推定が正しければ、
セキュリティコードは保存は保存しておらず、侵入者によって入力フォームを
改竄され、ユーザーの行った入力内容を、決済代行サービスだけではなく、
侵入者にも送っていたということになります。
ですので、
> このショップは契約違反の行為を行っていたわけで、
というわけじゃないってことなりますね。
Re: (スコア:0)
なるほど。よく見ると盗まれた情報は
2016年1月16日から2016年3月2日までに同サイトでクレジットカード決済を利用した顧客537件の
氏名およびクレジットカード番号、有効期限、セキュリティコード
と
会員登録された顧客情報最大199,709件
(ユーザーIDおよび暗号化されたパスワード、氏名、住所、電話番号、メールアドレス等の登録情報
の2種類あって、20万件の登録情報にはカード情報は含まれず、
セキュリティコードが漏えいしたのはクラックされた期間中に決済された537件のみということみたいなので、
決済時に情報を直接抜かれていたという推測が正しそうやね。
#2997924 [security.srad.jp]は脊髄反
Re: (スコア:0)
> 中間者攻撃で決済情報を盗み取ることもできるわけで、対策にならないように思えるが。
決済サービスのURLをきちんと確認する人なら防げるって意味なんじゃないでしょうか。
リスクは低減できるかもしれませんが、完全に防ぐのは無理でしょうね。
こういう通販サイトって、決済機能を自前で構築してんの? (スコア:0)
中小のショップや販売業者向けにショッピングカート&決済機能を提供するサービスが多数あるわけですが、特定の販売サイトが不正アクセス被害を受けている例って、そういう機能を独自に構築しているんですかね。
Re: (スコア:0)
前回のストーリーでもまったく同じ話が出ていたが、代行業者に払う手数料をケチってかえって損をするというパターン。
いっそモール自体独自に構築しないでamazon、楽天、ヤフーに投げたほうがいい
Re:こういう通販サイトって、決済機能を自前で構築してんの? (スコア:2, 参考になる)
> 前回のストーリーでもまったく同じ話が出ていたが、代行業者に払う手数料をケチってかえって損をするというパターン。
http://blog.tokumaru.org/2016/03/blog-post.html [tokumaru.org]
によると、決済機能は代行サービスを利用しているとありますよ。
入力フォームを改竄されたので、代行サービスに送る内容を入力と同時に盗まれていたのでしょう。
代行サービス頼んだ方が確かに安全性は上がります。
しかし、それだけで安心だとは言えないことは、この徳丸氏のページの表を見てもわかると思います。
Re: (スコア:0)
データとして持っていた20万人弱ぶんの名簿+暗号化されたカード情報
改竄から発見までの間に同サイトを利用した537人ぶんの生のクレジットカード番号、有効期限、セキュリティコードが抜かれたと。
Re: (スコア:0)
Re: (スコア:0)
代行業者は麻薬の売人レベルの末端組織でしかない。
我々が決済機能開発キットを格安で提供し、
それを利用したシステムから密かに金になる情報を抜き取っている事に
気づく事があっても、自ら警察組織に報告する業者などいない。
我々のビジネスモデルは完璧なのだ・・・
おや、誰か来たようだ。
Re: (スコア:0)
陰謀論を吹かしたいけど黒幕とか考えるのは面倒臭いなあ。
おや、誰か来たようだ。
Re: (スコア:0)
楽チョンとハゲ三国人は止めてーーー
Re: (スコア:0)
> ※外部オンラインショップ(楽天市場店、Yahoo!ショッピング店、Amazon店)のみをご利用のお客様におかれましては、情報漏洩の可能性はございません。
外部ショップもやってるのに、独自ショップ立ててるのは、
やはり自分で顧客情報集めたいんだろう。
それで漏洩してたら世話はないわ。
Re: (スコア:0)
上納金は少ないに越したことはないので、独自ショップで買ってもらった方が利益率は高いでしょう。
ちゃんと管理できるなら、ですが…
Re: (スコア:0)
とある零細に勤めてましたが、
実店舗 → 個人用ネットショップ → 複数の大手モール
…といった順に拡大していきましたね。
「アクセサリーのネット販売」ってあたり、似たような経緯を感じます。
単になりゆき上の話で、顧客情報うんぬんといった陰謀論とは無縁の営みですな。
「漏洩してたら世話ない」なんてのは外部も独自も同じこと、後出し結果論。
Re: (スコア:0)
世話してやれって
takezo (スコア:0)
昨年から経済産業省でクレジットカード、セキュリティ対策協議会なるものが設立されてます。クレジットカードの不正利用は、クレジットカードの偽造は減少傾向にありますが、ネット、非対面での決済は年々増加し、クレジットカード不正利用の6割超がこの被害です。クレジットカードの利用の前提は、あくまで加盟店契約をした店舗が、クレジットカードの利用者が確かに本人であることの確認をおこなうことで成立します。ネットの非対面でこれをおこなうとすると、相当に店舗でお金と時間が必要となりますよね。そこで、この本人確認の責務をクレジットカード会社側に倒す仕組み(業界ではライアビリティシフトっていうグローバルな決まりごと)が3Dセキュアです。店舗は、この3Dセキュアを導入することで、本人確認の責務をクレジットカード会社側に転換することができます。このメリットはさまざまありますが、昨今、商品を即時に届けるニーズがありますが、店舗は不正かどうかのチェックをしなくても、商品を配送できる、配送して不正利用であれば、それはクレジットカード会社側にリスクを転換できるんです。今のクレジットカード利用者は、公共料金を初め色んなところにカード情報を登録しており、一度、カードが不正利用されると、カードの切り替えで使えなくなるほかに、カードの膨大な登録先の変更など、かなりの精神的苦痛がまってます。このような社会悪を発生させないためにも、3Dセキュアは導入すべきですね。
これだけ不正利用被害があると、やっぱり怖い、持ちたく無いって人が多いのもわかります。自分も実際被害にあって多くカードを保持するの止めましたから。
不正利用がおこらないセキュリティインフラとして整備されないと、キャッシュレス社会なんてまず無理なんじゃないでしょうか。
Mrc. (スコア:0)
また、クレジットカード情報漏えいですか・・・。
セキュリティコードまで。
店舗で保持してはいけないことになってるのにね~。
ま、いづれ、国内か海外かわかりませんが、どこぞの店舗でしれーと、不正利用されるんでしょうね。
店舗は不正利用を発生させないよう、最低でも3Dセキュアは導入すべきだと思いますね。