パスワードを忘れた? アカウント作成
Close
30912 story
情報漏洩

「アイリスプラザ」にてクレジットカード情報の漏洩 15

ストーリー by hylom
もうどこから漏れるか分からない 部門より

情報漏洩されてしまったAC 曰く、

メタルラックなどを扱っているショッピングサイトのアイリスプラザにて、クレジットカード情報の漏洩があった模様。

原因はSQLインジェクションによる不正アクセスとのこと。6月はじめに発覚して、今日になってようやく対象者に報告と、約1ヶ月半かかっているが、この手の報告はこれぐらい時間がかかるものなのだろうか。

(つづく)...

また、tink の元にはアイリスプラザから不正アクセスがあった旨のメールが届いたそうだが、経緯を示すページを見ても、詳しい事は書いていないとのこと(tinkのタレこみ)。

アイリスプラザによると、SQLインジェクションによる不正アクセスのアクセス元は中国で、現在は攻撃されたページを閉鎖し、対策は完了しているそうだ。流出した可能性があるのは2007年6月1日~2008年6月6日までに同サイトでオンラインショッピングを利用したユーザーのクレジットカード番号28105件(うち987件は有効期限を含む)で、氏名やパスワードといったその他の情報は流出していないとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「アイリスプラザ」にてクレジットカード情報の漏洩 More

  • お詫びが来た (スコア:3, 参考になる)

    by kawauso (5796) on 2008年07月24日 19時42分 (#1390056) ホームページ
    ここはスーパーの雑貨コーナーが好きな人には楽しいサイトで、
    対応も早いしわたしもちょこちょこ利用しとりました。
    該当期間中に買い物もしてます。

    お詫びのメールと、専用窓口の案内、買い物に使えるポイントがきました。

  • 報告せずに処理していることも? (スコア:3, 参考になる)

    by Anonymous Coward on 2008年07月24日 23時02分 (#1390158)

    原因はSQLインジェクションによる不正アクセスとのこと。6月はじめに発覚して、今日になってようやく対象者に報告と、約1ヶ月半かかっているが、この手の報告はこれぐらい時間がかかるものなのだろうか。

    つい先日、日本時間で7月22日の未明頃から朝方にかけて(おそらく)液晶や光学ドライブでお馴染みの某メーカのサイトが改ざんされていました。
    朝にはメンテになっていて昼頃には復旧していたのですが、未だに公式な発表は無いようです。
    # もしかしして、このままだんまりを決め込むつもりなのかな。
    # 各国語のサイトがあるので日本時間で未明といっても海外で気づいた人は多そうなものだけれど。

    不正に書き換えられたHTMLでアクセス先になっていたverynx.cnでググると
    同じように改ざんされたサイトや、改ざんの目的(手法)について書かれたサイト(英文) [hubshout.com]が見つかります。
    (特にThe script statement is javascript pointing to the verynx.cn domain~のくだり)
    # verynx.cnドメインや改ざんされたサイトへのアクセスは十分に注意してください。
    # 必要なければアクセスしないのが無難です。また上記リンク先の説明が理解(できない|したくない)人はアクセスしない方が良いです。

    • Re:報告せずに処理していることも? (スコア:2, 興味深い)

      by rbinro (36658) on 2008年07月25日 9時43分 (#1390297) 日記
      カード会社とのやりとりの詳細を公開した事例http://www.soundhouse.co.jp/news/20080604.asp [soundhouse.co.jp]によれば カード会社から情報公開にストップをかけられていたようなので、今回も同様ではないでしょうか。

      カード会社とのやり取りを公開して怒りを買い、カード会社から契約解除を通告された事例を知っていれば、 早期の情報公開はまず選択できないですね。
      シェア
      親コメント

    • Re:報告せずに処理していることも? (スコア:1, 参考になる)

      by Anonymous Coward on 2008年07月25日 0時32分 (#1390210)
      1ヶ月半が長いか短いかは置いといて不正アクセスが判明した直後に対策も何もとっていない状態で
      「当サイトは不正アクセスされました、現状は何も把握できていません、取り急ぎお詫びさせていただきます」と
      表示されても不安を煽るだけなので最低でも
       ・被害の拡大を防ぐための対策
       ・被害範囲の確認(とりあえず予測される最大値)
       ・今後の対応(補償などではなく第一段階での対応)
       ・問い合わせに対する回答の準備
      辺りはクリアしてから報告となるでしょうから、ある程度の時間はかかるんじゃないでしょうかね

      是が非でも最短速度で回答/報告しろって話であれば、私ではとりあえずサーバからケーブル引っこ抜いて
      適当なレンタルサーバにでもお詫び文章乗っけた上で登録されてる全てのユーザーに被害の有無に関わらず
      お詫びメールを送った上で、問い合わせにはロボットで全て定型回答するくらいしか思いつきません
      流石にそんなことしたらアレですが・・・
      シェア
      親コメント

    • Re: (スコア:0)

      by Anonymous Coward
      ちょいと検索してみたら、22日に被害にあったサイトのリスト [netsecurity.ne.jp]があった。
      同時に、複数狙われるんだね。

  • なぜ987件だけ? (スコア:2, 興味深い)

    by blackdrug (13208) on 2008年07月24日 17時54分 (#1389993) 日記
    > 今回、流出した可能性があるお客様の情報は、
    > 2007年6月1日~2008年6月6日までにアイリスプラザ
    > インターネットショッピングで利用された総数のうち、
    > クレジットカード番号28105件(うち、987件は有効期限を含む)です。

    なぜ、987件のデータだけ有効期限を含んだんでしょうか
    うーん・・・色々考えたのですが、まずクレジットカード番号は
    一回のSQLインジェクションで全部取れた。
    で、残りの987回分はWhere文で一回一回指定してとられたと見るのが妥当でしょうか
    これで相当ログに残ったんだろうな

    ・・・本当に名前は取られなかったの?

  • FAQより (スコア:2, 興味深い)

    by Anonymous Coward on 2008年07月24日 18時26分 (#1390010)
    Q.不正アクセスに対する対策はしていたのか?
    A.ファイヤーウォールやSQLインジェクション対策はしておりましたが、
    既に使われていない古いプログラムは対策されておらず、
    結果的にそのプログラムから攻撃を受けています。

    SQLインジェクション対策って、どの程度なんだろう?
    バインド機構なのか、エスケープなのか、サニタイジングなのか・・・
    通達が遅いのもそうだけど、事故が発生しているにも関わらず、
    サイトを停止して、総点検しないショッピングサイトとか使いたいと思わないなぁ。

    • Re:FAQより (スコア:1, 興味深い)

      by Anonymous Coward on 2008年07月24日 18時39分 (#1390016)
      > 既に使われていない古いプログラムは対策されておらず、
      > 結果的にそのプログラムから攻撃を受けています。

      今入ってる客先にそーゆーのがたくさんある。
      新しいプログラムを入れる際にはチェックのルールがあるらしいが、
      (と言っても、そのチェックのコストを忌避して新しいプログラムを入れないらしい)
      過去のもの、特に今現在使われてないものはノーチェック。

      最近ようやく「使わないものはサーバから消しましょう」と言う話になったが、
      どう考えても「まっさらのサーバに使っているものを移す」方が早い。
      本当にやれるんだろうか...
      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward
        >どう考えても「まっさらのサーバに使っているものを移す」方が早い

        "うっかり" rm -rf / してあげたら皆から感謝してもらえそうですね。

    • Re:FAQより (スコア:1, 興味深い)

      by Anonymous Coward on 2008年07月24日 19時03分 (#1390033)
      ファイヤーウォールってSQLいんじぇくしょん何とかしてくれるの?
      シェア
      親コメント

      • Re:FAQより (スコア:2, 参考になる)

        by Anonymous Coward on 2008年07月24日 20時42分 (#1390081)
        怪しいリクエストをチェックできる機種もあります。

        …が、ほとんどの機種はSSL通信の中を見られません。
        キーを呑ませて、中身をチェックできる機種はお高いです。

        ・お高いファイアウォールでチェック
        ・SSLアクセラレータを噛まして復号化したあとで、ファイアウォール噛ます

        どっちもイマイチなので、ウチは導入をあきらめましたが。
        シェア
        親コメント

      • Re: (スコア:0)

        by Anonymous Coward
        元ACです。

        コメントにあるSSLアクセラレータの下にFWというよりは、
        IPSをかます感じじゃないでしょうか?
        基本がシグネチャベースだし、"1=1"みたいな値が常に真になるリクエストを
        検知してブロックするシグネチャを柔軟に書くことができます。
        IPS屋をやってたんだけど、ブロックできるかはチューニング次第だと思います。
    • 以前ストーリーであったので皆さんもう読んでいるとは思いますが、
      一応資料として、サウンドハウスの漏洩時の経緯についてのPDFおいてきますね。
      不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ [soundhouse.co.jp]
      シェア
      親コメント

  • おかしいなあ、アレがないんだけど (スコア:0)

    by Anonymous Coward on 2008年07月24日 17時49分 (#1389988)
    ハ ッ カ ー セ ー フ

    まあ、しかし…
    「当サイトは日本クロストラスト株式会社の認証を受けています。
    万全のセキュリティですので安心してお買い物をお楽しみ頂けます。」
    が見つかったから良しとしておくか!

    #良くない

  • 勘違い (スコア:0)

    by Anonymous Coward on 2008年07月25日 13時18分 (#1390390)
    なぜかアップリカ [aprica-info.jp]と勘違いしてました。
    「最近は買い物してないぞ、よしよし」と安心してたら、

    アイリスでしたね・・・・ロールスクリーン [irisplaza.co.jp]買いましたよorz

    っと思ったら、6/15だった・・・。

    ぎりぎりセフセフ?
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie