アカウント名:
パスワード:
意外と知らない人が多いのかな。保存が禁止されているCVVが流出するのは保存されていたからだ、CVVを保存するのはおかしい、と指摘する人はしばしばいますが、この手の流出はサーバに入られて入力内容を外部送信するよう決済ページを改竄されることで起きます。なので元からCVVを保存する仕様だったかどうかとか、データベースに何が保管されていたかは必ずしも関係ないです。
極端な話、必要な情報が抜けているなら攻撃者側で入力欄を書き加えてあげればいいわけですから。
被害にあった会社も、ただ「不正アクセスを受け情報が流出した」(これ以上は、言えません)としか発表するのではなく、もう少し説明をすれば余計な憶測をされなくて済むし、結果としては自分達への余計な(余分な?)批判も防げるのに。
過去の手口を知っていれば容易に想像がつきます。どの程度まで容易に想像がつくように書くかは自由でしょう。プレスを読んで勝手に批評する人の意見を誘導するところまでは、書く人の責任ではないかなと思います。
本当に「これ以上は、言えません」っていう凄いレベルってことでしょ。
つまり、やられたことも理解できず、侵入や改ざんがどうやって実施されたのかも、他組織からの指摘後でもわかってない事はよくある。
#30歳を超えたので魔法使いになれるかな?
半可通の戯言なんて恥かかせておけばいいんですよ。
ネットで一番面白いのはこういう匿名の無様これに尽きる
うん、痛いところを突かれたんだね。
またアホは恥かくほど必死に上塗りするからな、コメも伸びる
Unicode にルーン文字があってよかったね、ぼく。で、どちらを追い出されて、ここに来たんですか ?この書き込みって、貴方の独自研究じゃなくて、コピペですよね。
マイナスモデ済みのコピペに反応するアホwww
「もう少し説明を」しようと思ったらもっともっと発表が遅れていると思うよ。
そもそも憶測だけで批判することが愚かなことです
「今後の対策をどうするか」というタイミングで不正アクセスの詳細も発表したほうがよいと思いますが、「発生の事実」の発表においては経緯はあまり関係なく、結果さえ分かれば問題ありませんそういった詳細な調査を行えば、ほかのコメントで指摘されている通り発表がさらに遅れるでしょう
発表はより迅速な方がいいはずですが、こういう無駄な批判のせいで企業側もある程度情報がまとまるまで発表しない方がよい、と判断してしまうことにもつながりかねないので、むしろそういう余計な憶測をする人たちを批判すべきです
読売ファミリー.comの発表文から想像すると、JINSと同じ [security.srad.jp]でサーバー書き換えられて、入力したフォーム内容をそのまま第三者サーバーに送ったんじゃないかな?
そう考えると改ざん日からが盗まれた可能性のある取引になるし、CVVとか全部ぶっこ抜きされたのもよくわかる。一方、JINSでこういう手口があったんだとわかっているんで改ざんされないようなシステムにしておくべきだったんだろうなぁ。
一方、カード番号漏洩事例なのでフォレンジックできる会社は限られているんですが、その会社名出さないとなぁ。大昔にサウンドハウスがカード情報漏洩やった際にLACに依頼してたけど、あそこはクレジットカード会社の認めるフォレンジック認定取ってないのよね。
> クレジットカード会社の認めるフォレンジック認定
まあ、日本がサービスエリアになってるのは6社、日本に拠点があるのは2社しかないからね。
https://www.pcisecuritystandards.org/assessors_and_solutions/pci_foren... [pcisecuritystandards.org]
つまり、「カード名義人が漏れたのか理解に苦しむところではある」なら100点?
コンテンツセキュリティポリシーヘッダー1個追加するだけで改竄されても外部に送信されることは防げるのになぁ。
改竄されるくらいならサーバー設定も変えられてしまうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
保存する仕様だったとは限らない (スコア:4, すばらしい洞察)
意外と知らない人が多いのかな。保存が禁止されているCVVが流出するのは保存されていたからだ、CVVを保存するのはおかしい、と指摘する人はしばしばいますが、この手の流出はサーバに入られて入力内容を外部送信するよう決済ページを改竄されることで起きます。なので元からCVVを保存する仕様だったかどうかとか、データベースに何が保管されていたかは必ずしも関係ないです。
極端な話、必要な情報が抜けているなら攻撃者側で入力欄を書き加えてあげればいいわけですから。
Re:保存する仕様だったとは限らない (スコア:1)
被害にあった会社も、ただ「不正アクセスを受け情報が流出した」(これ以上は、言えません)としか発表するのではなく、
もう少し説明をすれば余計な憶測をされなくて済むし、結果としては自分達への余計な(余分な?)批判も防げるのに。
Re:保存する仕様だったとは限らない (スコア:2)
過去の手口を知っていれば容易に想像がつきます。どの程度まで容易に想像がつくように書くかは自由でしょう。プレスを読んで勝手に批評する人の意見を誘導するところまでは、書く人の責任ではないかなと思います。
本当に「これ以上は、言えません」 (スコア:0)
本当に「これ以上は、言えません」っていう凄いレベルってことでしょ。
つまり、やられたことも理解できず、侵入や改ざんがどうやって実施
されたのかも、他組織からの指摘後でもわかってない事はよくある。
#30歳を超えたので魔法使いになれるかな?
Re: (スコア:0)
半可通の戯言なんて恥かかせておけばいいんですよ。
Re: (スコア:0)
ネットで一番面白いのはこういう匿名の無様
これに尽きる
Re: (スコア:0)
うん、痛いところを突かれたんだね。
Re: (スコア:0)
またアホは恥かくほど必死に上塗りするからな、コメも伸びる
Re: (スコア:0)
Unicode にルーン文字があってよかったね、ぼく。
で、どちらを追い出されて、ここに来たんですか ?
この書き込みって、貴方の独自研究じゃなくて、コピペですよね。
Re: (スコア:0)
マイナスモデ済みのコピペに反応するアホwww
Re: (スコア:0)
「もう少し説明を」しようと思ったらもっともっと発表が遅れていると思うよ。
Re: (スコア:0)
そもそも憶測だけで批判することが愚かなことです
「今後の対策をどうするか」というタイミングで不正アクセスの詳細も発表したほうがよいと思いますが、「発生の事実」の発表においては経緯はあまり関係なく、結果さえ分かれば問題ありません
そういった詳細な調査を行えば、ほかのコメントで指摘されている通り発表がさらに遅れるでしょう
発表はより迅速な方がいいはずですが、こういう無駄な批判のせいで企業側もある程度情報がまとまるまで発表しない方がよい、と判断してしまうことにもつながりかねないので、むしろそういう余計な憶測をする人たちを批判すべきです
Re: (スコア:0)
読売ファミリー.comの発表文から想像すると、JINSと同じ [security.srad.jp]でサーバー書き換えられて、入力したフォーム内容をそのまま第三者サーバーに送ったんじゃないかな?
そう考えると改ざん日からが盗まれた可能性のある取引になるし、CVVとか全部ぶっこ抜きされたのもよくわかる。一方、JINSでこういう手口があったんだとわかっているんで改ざんされないようなシステムにしておくべきだったんだろうなぁ。
一方、カード番号漏洩事例なのでフォレンジックできる会社は限られているんですが、その会社名出さないとなぁ。大昔にサウンドハウスがカード情報漏洩やった際にLACに依頼してたけど、あそこはクレジットカード会社の認めるフォレンジック認定取ってないのよね。
Re:保存する仕様だったとは限らない (スコア:1)
> クレジットカード会社の認めるフォレンジック認定
まあ、日本がサービスエリアになってるのは6社、日本に拠点があるのは2社しかないからね。
https://www.pcisecuritystandards.org/assessors_and_solutions/pci_foren... [pcisecuritystandards.org]
Re: (スコア:0)
つまり、「カード名義人が漏れたのか理解に苦しむところではある」
なら100点?
Re: (スコア:0)
コンテンツセキュリティポリシーヘッダー1個追加するだけで
改竄されても外部に送信されることは防げるのになぁ。
改竄されるくらいならサーバー設定も変えられてしまうか。