アカウント名:
パスワード:
セキュリティ専門家の徳丸氏の 2019年のブログ [tokumaru.org]をどうぞ。
はてなブックマークやtwitterのコメントを見ていると、「セキュリティコードを保存していたのか」という意見が見えますが、おそらくセキュリティコードは保存されていなかったと推測します。
大半の事件でセキュリティコードが漏洩している上表からわかるように、藤い屋オンラインショップを除いたすべての事件でセキュリティコードが漏洩しています。昨年のまとめも見ていただくとわか
東映ビデオの発表でもそうなってますね。
弊社は、システム上クレジットカード情報は一切保持しておりませんが、第三者によるプログラム改ざんにより、以下の情報を不正に取得された...
まぁたしかに、サイトに細工されてカード番号その他全て横から取られたら無力だな。決済サイトに飛んでそっちで決済、って方法がやはり一番安全なんだろうか。その場合でもType5の偽入力画面で入れちゃったら駄目だなぁ…。
いや、そこはちょっと言い淀んでる。本報告はこれ。
調査の結果、2019年5月27日から2020年5月11日の期間に弊社システムの一部の脆弱性をついたことによる不正アクセスを示す形跡が認められたものの、クレジットカード情報の不正取得に繋がる改ざんや不正プログラム等は発見されませんでした。しかしながら、クレジットカード会社等と協議を重ねた結果、同期間に弊社オンラインショップを利用されたお客様に注意を喚起しその利益を保護すべく、弊社がカード再発行費用等を負担することでカード会社等と連携し公表を実施することといたしました。
この報告って要するに、状況的に漏洩が発生したと判断されるが原因は不明である、ってことだろう。報告書では悉く「可能性がある」という表現で統一されている。多分運営側にも原因が見えていなくて、サイト改竄と断定はできない状況なのだと思われる。
アクセス解析とか広告とか共有とかなにか外部のリソース呼んでて、そこがやられたとか有りそう。ちゃんと自サイトが呼び出してる外部リソースの中身とか監視してたのかな?
Q: クレジットカード情報を抹消してくださいA: 大変申し訳ございませんが、クレジットカード情報につきましては弊社では一切保持していないため、対応いたしかねます。利用停止や再発行を含むご依頼につきましては、ご契約のクレジットカード会社さまに直接お問い合わせ頂けますようお願い申し上げます。Q: セキュリティ対策は整備されていたのか?A: フォレンジック調査会社にて、弊社システムのペネトレーションテスト(侵入テスト)も行って頂きましたが、緊急、または重大な脆弱性を認める箇所はございませんでした。ただし、軽微な指摘事項がございましたので、万全を期すためにシステム自体を破棄し、新しいシステムに移行予定です。監視体制につきましても強化した上でサービスを再開すべく構築を進めております。
外部リソース汚染であれば、管理が及ばないか・・・。それ以外にも、ディスクには証拠が残らないタイプの攻撃手法とか・・・。潜伏性/隠滅性の高い手法とか・・・。クレジットカード不正利用された会員の共通点(別の原因)から「東映ビデオ オンラインショップ」に非がない可能性もありうるかな・・・? この場合、クレジットカード会社の指摘ミスか。ややこしい話になりそう。
2020年5月11日、クレジットカード会社より、弊社が契約する決済代行会社を通じて弊社オンラインショップにてクレジットカード決済を利用したお客様のカード情報が漏えいしている可能性があると指摘を受け、当該サイトの全サービスを停止いたしました。
まさかまさかの「決済代行会社」が真犯人(原因)とか・・・?ベネッセの内部犯や神奈川県庁のHDDヤフオク出品の事件から、オンライン攻撃ではない可能性もあるのでは・・・?ヤフオク出品は老後の生活資金稼ぎが目的でしたっけ・・・?あと、テロリストに家族を人質に取られ自社システムをハッキングするシステム部長は映画化済みです。そう言えば、ネットワーク機器に不審なチップ、正規流通品に紛れ込む中国の耳もありましたな。考えたらきりがないね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
最近はセキュリティコードを保存していなくても盗まれる (スコア:5, 参考になる)
セキュリティ専門家の徳丸氏の 2019年のブログ [tokumaru.org]をどうぞ。
Re: (スコア:1)
東映ビデオの発表でもそうなってますね。
まぁたしかに、サイトに細工されてカード番号その他全て横から取られたら無力だな。
決済サイトに飛んでそっちで決済、って方法がやはり一番安全なんだろうか。
その場合でもType5の偽入力画面で入れちゃったら駄目だなぁ…。
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:1)
いや、そこはちょっと言い淀んでる。
本報告はこれ。
調査の結果、2019年5月27日から2020年5月11日の期間に弊社システムの一部の脆弱性をついたことによる不正アクセスを示す形跡が認められたものの、クレジットカード情報の不正取得に繋がる改ざんや不正プログラム等は発見されませんでした。しかしながら、クレジットカード会社等と協議を重ねた結果、同期間に弊社オンラインショップを利用されたお客様に注意を喚起しその利益を保護すべく、弊社がカード再発行費用等を負担することでカード会社等と連携し公表を実施することといたしました。
この報告って要するに、状況的に漏洩が発生したと判断されるが原因は不明である、ってことだろう。
報告書では悉く「可能性がある」という表現で統一されている。
多分運営側にも原因が見えていなくて、サイト改竄と断定はできない状況なのだと思われる。
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:1)
アクセス解析とか広告とか共有とかなにか外部のリソース呼んでて、そこがやられたとか有りそう。
ちゃんと自サイトが呼び出してる外部リソースの中身とか監視してたのかな?
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:1)
Q: クレジットカード情報を抹消してください
A: 大変申し訳ございませんが、クレジットカード情報につきましては弊社では一切保持していないため、対応いたしかねます。
利用停止や再発行を含むご依頼につきましては、ご契約のクレジットカード会社さまに直接お問い合わせ頂けますようお願い申し上げます。
Q: セキュリティ対策は整備されていたのか?
A: フォレンジック調査会社にて、弊社システムのペネトレーションテスト(侵入テスト)も行って頂きましたが、緊急、または重大な脆弱性を認める箇所はございませんでした。ただし、軽微な指摘事項がございましたので、万全を期すためにシステム自体を破棄し、新しいシステムに移行予定です。監視体制につきましても強化した上でサービスを再開すべく構築を進めております。
外部リソース汚染であれば、管理が及ばないか・・・。
それ以外にも、ディスクには証拠が残らないタイプの攻撃手法とか・・・。潜伏性/隠滅性の高い手法とか・・・。
クレジットカード不正利用された会員の共通点(別の原因)から「東映ビデオ オンラインショップ」に非がない可能性もありうるかな・・・? この場合、クレジットカード会社の指摘ミスか。ややこしい話になりそう。
2020年5月11日、クレジットカード会社より、弊社が契約する決済代行会社を通じて弊社オンラインショップにてクレジットカード
決済を利用したお客様のカード情報が漏えいしている可能性があると指摘を受け、当該サイトの全サービスを停止いたしました。
まさかまさかの「決済代行会社」が真犯人(原因)とか・・・?
ベネッセの内部犯や神奈川県庁のHDDヤフオク出品の事件から、オンライン攻撃ではない可能性もあるのでは・・・?
ヤフオク出品は老後の生活資金稼ぎが目的でしたっけ・・・?
あと、テロリストに家族を人質に取られ自社システムをハッキングするシステム部長は映画化済みです。
そう言えば、ネットワーク機器に不審なチップ、正規流通品に紛れ込む中国の耳もありましたな。
考えたらきりがないね。