アカウント名:
パスワード:
セキュリティ専門家の徳丸氏の2019年のブログ [tokumaru.org]をどうぞ。
はてなブックマークやtwitterのコメントを見ていると、「セキュリティコードを保存していたのか」という意見が見えますが、おそらくセキュリティコードは保存されていなかったと推測します。
大半の事件でセキュリティコードが漏洩している上表からわかるように、藤い屋オンラインショップを除いたすべての事件でセキュリティコードが漏洩しています。昨年のまとめも見ていただくとわかりますが、最近のウェブサイトからのクレジットカード情報漏洩では、セキュリティコードが漏洩する方がむしろ普通です。昨年10月のブログ記事「クレジットカード情報盗み出しの手口をまとめた」では、クレジットカード情報を窃取する手口をType1~Type5にまとめましたが、この中で、Type4とType5はセキュリティコードを容易に盗むことができます。
ご教示ありがとうございます。
やっぱり、流石に保存はしてはいないのですね。とはいえ、どうにも困ったコトで。
東映ビデオの発表でもそうなってますね。
弊社は、システム上クレジットカード情報は一切保持しておりませんが、第三者によるプログラム改ざんにより、以下の情報を不正に取得された...
まぁたしかに、サイトに細工されてカード番号その他全て横から取られたら無力だな。決済サイトに飛んでそっちで決済、って方法がやはり一番安全なんだろうか。その場合でもType5の偽入力画面で入れちゃったら駄目だなぁ…。
いや、そこはちょっと言い淀んでる。本報告はこれ。
調査の結果、2019年5月27日から2020年5月11日の期間に弊社システムの一部の脆弱性をついたことによる不正アクセスを示す形跡が認められたものの、クレジットカード情報の不正取得に繋がる改ざんや不正プログラム等は発見されませんでした。しかしながら、クレジットカード会社等と協議を重ねた結果、同期間に弊社オンラインショップを利用されたお客様に注意を喚起しその利益を保護すべく、弊社がカード再発行費用等を負担することでカード会社等と連携し公表を実施することといたしました。
この報告って要するに、状況的に漏洩が発生したと判断されるが原因は不明である、ってことだろう。報告書では悉く「可能性がある」という表現で統一されている。多分運営側にも原因が見えていなくて、サイト改竄と断定はできない状況なのだと思われる。
アクセス解析とか広告とか共有とかなにか外部のリソース呼んでて、そこがやられたとか有りそう。ちゃんと自サイトが呼び出してる外部リソースの中身とか監視してたのかな?
Q: クレジットカード情報を抹消してくださいA: 大変申し訳ございませんが、クレジットカード情報につきましては弊社では一切保持していないため、対応いたしかねます。利用停止や再発行を含むご依頼につきましては、ご契約のクレジットカード会社さまに直接お問い合わせ頂けますようお願い申し上げます。Q: セキュリティ対策は整備されていたのか?A: フォレンジック調査会社にて、弊社システムのペネトレーションテスト(侵入テスト)も行って頂きましたが、緊急、または重大な脆弱性を認める箇所はございませんでした。ただし、軽微な指摘事項がございましたので、万全を期すためにシステム自体を破棄し、新しいシステムに移行予定です。監視体制につきましても強化した上でサービスを再開すべく構築を進めております。
外部リソース汚染であれば、管理が及ばないか・・・。それ以外にも、ディスクには証拠が残らないタイプの攻撃手法とか・・・。潜伏性/隠滅性の高い手法とか・・・。クレジットカード不正利用された会員の共通点(別の原因)から「東映ビデオ オンラインショップ」に非がない可能性もありうるかな・・・? この場合、クレジットカード会社の指摘ミスか。ややこしい話になりそう。
2020年5月11日、クレジットカード会社より、弊社が契約する決済代行会社を通じて弊社オンラインショップにてクレジットカード決済を利用したお客様のカード情報が漏えいしている可能性があると指摘を受け、当該サイトの全サービスを停止いたしました。
まさかまさかの「決済代行会社」が真犯人(原因)とか・・・?ベネッセの内部犯や神奈川県庁のHDDヤフオク出品の事件から、オンライン攻撃ではない可能性もあるのでは・・・?ヤフオク出品は老後の生活資金稼ぎが目的でしたっけ・・・?あと、テロリストに家族を人質に取られ自社システムをハッキングするシステム部長は映画化済みです。そう言えば、ネットワーク機器に不審なチップ、正規流通品に紛れ込む中国の耳もありましたな。考えたらきりがないね。
3Dセキュアでパスワードはブラウザなりマネージャに保存しておく
3-D Secure1.0は、CookieでSameSite=Noneを設定しないと使えないけれど、最近のブラウザではSameSite属性がない場合はSameSite=Laxとなり、SameSite=Noneを設定する場合はSecure属性を同時に設定しないといけない。そもそも、別ドメインの認証ページに遷移する点がユーザーの離脱率を上げるなど、非常に大不評だ。
みんな、さっさと3-D Secure2.0に移行してくれ。
いまだに漏洩=保存程度の認識で批判しちゃうんですねぇ。
イコールじゃないけど、パスワードなんかは保存してる例も多いしな。(さすがにクレジットカード使うサイトでクレカ番号を保存してたりすると恰好がつかんが。)
保存はしてなくても、サイトを改竄されて仕込まれたりしてたとしたら、それは別の意味でヤバイから、批判されるべき落ち度があったことについてはなんも変わらん。
落ち度があればいわれのない批判をしていいわけではないよ
>クレジットカード使うサイトでクレカ番号を保存してたりすると恰好がつかんが
大半のECサイトでは、クレカ番号もパスワードも保存していると思いますが
>大半のECサイトでは、クレカ番号もパスワードも保存していると思いますがまともなECサイトは改正割販法施行前からカードの生情報は保存していませんよまともなECサイトでは「カード情報を保存する」オプションはトークナイゼーション [it-trend.jp]という仕組みでカード会社側で保存されているカード情報に紐づけられるトークンを保存しているだけです(トークン+下4桁、有効期限というケースもあり)このトークンはカード情報が暗号化されている訳ではないので当然復号もできませんし、通常は加盟店番号や特定のIPアドレスなどとセットでしか決済を受付無い事が多いため流出しても被害が最小限に抑えられます一方デメリットもあり一般的にトークンを用いた決済は例えトークン取得時の初回決済にセキュリティコードや3Dセキュアを通過していたとしても、それらを利用しないカード番号と有効期限のみの決済として扱われ不正利用(チャージバック)の対象外とされていますそのため改正割販法施行前は、ダメダメなECサイトがトークナイゼーションを利用せずカード番号、有効期限、セキュリティコードを保存していた理由の一つでもあるのですが・・・
余談ですがクレジット会社が運営しているECモールもカード番号は基幹システムのみがもち、ECモール自体はトークンのみの保存が一般的です
Amazonで買い物するとき何も聞かれないということは全部憶えているということだよね
Stripe使ってるサイトは確認用で下4ケタだけ表示されてるぞ(毎回APIで取ってきて表示して保存してないかもしれないが、サイト内のPDF領収書は載っけてるし)
PCI DSS的には、頭のBIN部分と最後尾の4桁だけであれば保存されていてもカード番号ではないとみなされる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
最近はセキュリティコードを保存していなくても盗まれる (スコア:5, 参考になる)
セキュリティ専門家の徳丸氏の2019年のブログ [tokumaru.org]をどうぞ。
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:2)
ご教示ありがとうございます。
やっぱり、流石に保存はしてはいないのですね。とはいえ、どうにも困ったコトで。
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:1)
東映ビデオの発表でもそうなってますね。
まぁたしかに、サイトに細工されてカード番号その他全て横から取られたら無力だな。
決済サイトに飛んでそっちで決済、って方法がやはり一番安全なんだろうか。
その場合でもType5の偽入力画面で入れちゃったら駄目だなぁ…。
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:1)
いや、そこはちょっと言い淀んでる。
本報告はこれ。
調査の結果、2019年5月27日から2020年5月11日の期間に弊社システムの一部の脆弱性をついたことによる不正アクセスを示す形跡が認められたものの、クレジットカード情報の不正取得に繋がる改ざんや不正プログラム等は発見されませんでした。しかしながら、クレジットカード会社等と協議を重ねた結果、同期間に弊社オンラインショップを利用されたお客様に注意を喚起しその利益を保護すべく、弊社がカード再発行費用等を負担することでカード会社等と連携し公表を実施することといたしました。
この報告って要するに、状況的に漏洩が発生したと判断されるが原因は不明である、ってことだろう。
報告書では悉く「可能性がある」という表現で統一されている。
多分運営側にも原因が見えていなくて、サイト改竄と断定はできない状況なのだと思われる。
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:1)
アクセス解析とか広告とか共有とかなにか外部のリソース呼んでて、そこがやられたとか有りそう。
ちゃんと自サイトが呼び出してる外部リソースの中身とか監視してたのかな?
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:1)
Q: クレジットカード情報を抹消してください
A: 大変申し訳ございませんが、クレジットカード情報につきましては弊社では一切保持していないため、対応いたしかねます。
利用停止や再発行を含むご依頼につきましては、ご契約のクレジットカード会社さまに直接お問い合わせ頂けますようお願い申し上げます。
Q: セキュリティ対策は整備されていたのか?
A: フォレンジック調査会社にて、弊社システムのペネトレーションテスト(侵入テスト)も行って頂きましたが、緊急、または重大な脆弱性を認める箇所はございませんでした。ただし、軽微な指摘事項がございましたので、万全を期すためにシステム自体を破棄し、新しいシステムに移行予定です。監視体制につきましても強化した上でサービスを再開すべく構築を進めております。
外部リソース汚染であれば、管理が及ばないか・・・。
それ以外にも、ディスクには証拠が残らないタイプの攻撃手法とか・・・。潜伏性/隠滅性の高い手法とか・・・。
クレジットカード不正利用された会員の共通点(別の原因)から「東映ビデオ オンラインショップ」に非がない可能性もありうるかな・・・? この場合、クレジットカード会社の指摘ミスか。ややこしい話になりそう。
2020年5月11日、クレジットカード会社より、弊社が契約する決済代行会社を通じて弊社オンラインショップにてクレジットカード
決済を利用したお客様のカード情報が漏えいしている可能性があると指摘を受け、当該サイトの全サービスを停止いたしました。
まさかまさかの「決済代行会社」が真犯人(原因)とか・・・?
ベネッセの内部犯や神奈川県庁のHDDヤフオク出品の事件から、オンライン攻撃ではない可能性もあるのでは・・・?
ヤフオク出品は老後の生活資金稼ぎが目的でしたっけ・・・?
あと、テロリストに家族を人質に取られ自社システムをハッキングするシステム部長は映画化済みです。
そう言えば、ネットワーク機器に不審なチップ、正規流通品に紛れ込む中国の耳もありましたな。
考えたらきりがないね。
Re: (スコア:0)
3Dセキュアでパスワードはブラウザなりマネージャに保存しておく
Re: (スコア:0)
3-D Secure1.0は、CookieでSameSite=Noneを設定しないと使えないけれど、最近のブラウザではSameSite属性がない場合はSameSite=Laxとなり、SameSite=Noneを設定する場合はSecure属性を同時に設定しないといけない。
そもそも、別ドメインの認証ページに遷移する点がユーザーの離脱率を上げるなど、非常に大不評だ。
みんな、さっさと3-D Secure2.0に移行してくれ。
Re: (スコア:0)
いまだに漏洩=保存程度の認識で批判しちゃうんですねぇ。
Re: (スコア:0)
イコールじゃないけど、パスワードなんかは保存してる例も多いしな。
(さすがにクレジットカード使うサイトでクレカ番号を保存してたりすると恰好がつかんが。)
保存はしてなくても、サイトを改竄されて仕込まれたりしてたとしたら、それは別の意味で
ヤバイから、批判されるべき落ち度があったことについてはなんも変わらん。
Re: (スコア:0)
落ち度があればいわれのない批判をしていいわけではないよ
Re: (スコア:0)
>クレジットカード使うサイトでクレカ番号を保存してたりすると恰好がつかんが
大半のECサイトでは、クレカ番号もパスワードも保存していると思いますが
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:3, 参考になる)
>大半のECサイトでは、クレカ番号もパスワードも保存していると思いますが
まともなECサイトは改正割販法施行前からカードの生情報は保存していませんよ
まともなECサイトでは「カード情報を保存する」オプションはトークナイゼーション [it-trend.jp]という仕組みでカード会社側で保存されているカード情報に紐づけられるトークンを保存しているだけです
(トークン+下4桁、有効期限というケースもあり)
このトークンはカード情報が暗号化されている訳ではないので当然復号もできませんし、通常は加盟店番号や特定のIPアドレスなどとセットでしか決済を受付無い事が多いため流出しても被害が最小限に抑えられます
一方デメリットもあり一般的にトークンを用いた決済は例えトークン取得時の初回決済にセキュリティコードや3Dセキュアを通過していたとしても、それらを利用しないカード番号と有効期限のみの決済として扱われ不正利用(チャージバック)の対象外とされています
そのため改正割販法施行前は、ダメダメなECサイトがトークナイゼーションを利用せずカード番号、有効期限、セキュリティコードを保存していた理由の一つでもあるのですが・・・
余談ですがクレジット会社が運営しているECモールもカード番号は基幹システムのみがもち、ECモール自体はトークンのみの保存が一般的です
Re: (スコア:0)
Amazonで買い物するとき何も聞かれないということは全部憶えているということだよね
Re: (スコア:0)
Re: (スコア:0)
Stripe使ってるサイトは確認用で下4ケタだけ表示されてるぞ
(毎回APIで取ってきて表示して保存してないかもしれないが、サイト内のPDF領収書は載っけてるし)
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:1)
PCI DSS的には、頭のBIN部分と最後尾の4桁だけであれば保存されていてもカード番号ではないとみなされる。