米国でクレジットカード情報が大量に流出 68
ストーリー by hayakawa
「業界最先端の暗号化」っていったい何? 部門より
「業界最先端の暗号化」っていったい何? 部門より
insiderman 曰く、
USA TodayやInquirerなどが報じているが、米国の大手カード処理会社Heartland Payment Systemsが「カード決済システムが攻撃され、数千万件の個人情報が流出した可能性がある」と発表した。
Inquirerによると、システムへの侵入が確認されたのは先週のことで、カード番号や有効期限、そして一部のカード所有者の名前といった情報が流出したそうだ。クラッカーはSnifferを使って同社とカード会社や銀行がやりとりする情報を傍受していたと見られている。同社は「業界最先端の暗号化」を行っているとしていたが、情報をやりとりする際はデータを暗号化しておらず、そのためクラッカーが認証情報を容易に傍受することができたようだ。
補足 (スコア:5, 参考になる)
日本語関連記事もでてますね。
公式発表では「買い物の情報、社会保障番号、暗証番号(PIN)、住所、電話番号は流出していない」といっているだけで、何が流出したのかを名言していないのですが、NewYork Times [nytimes.com]の取材によると「カード番号、有効期限、カード所有者の名前の一部が流出」した可能性がある、ということだそうで。流出した件数も公式には発表されていないようです。
漏れた可能性があると再発行されたカード番号 (スコア:4, 興味深い)
アメリカのカードなのですが、「番号が漏れた可能性がある」と、新しいカードが送られてきたことがあります。
ただ、そのカード番号、下2桁が違ってただけなのです。
もちろん最後の桁はチェックデジットなわけで・・・・。
所詮その程度のセキュリティなわけですわ。
NYの日系ホステルでは、予約のフォームに、カード番号と、裏のセキュリティコード、パスポート番号と、
これでもかという個人情報を洗いざらい非HTTPSのフォームに書かされました。
これも普通の人は気にせずホイホイ書き込んじゃうんでしょうね。(って私も結局書き込みましたが。
しょめい。
Re:漏れた可能性があると再発行されたカード番号 (スコア:2, 興味深い)
以前、「カード番号不正利用 → 再発行 → 一ヵ月後にカード紛失 → 再発行」をしたことがありますが、チェックデジットの前の番号が8→9→0とカウントアップしました。チェックデジットのほうはカウントダウンしていたような。
みながみな再発行しまくるわけではないと思いますが、最後の一桁って意外と予備にしているのだなぁと感心したことがあります。
Re:漏れた可能性があると再発行されたカード番号 (スコア:1)
という新しいカードを作れという広告だったとか。
Re:漏れた可能性があると再発行されたカード番号 (スコア:1)
確かに、それ以降「3ヶ月無料」で番号盗難保険はいかがですかーっていうカード会社からのDMは何度も来ました。
#アメリカの大銀行系のカードなんですが(つぶれ[た|そう]なとこじゃないです)
#ただの一般会員でも金色カードくれるので日本で見せるとアレげな気分になれます。
しょめい。
Re:漏れた可能性があると再発行されたカード番号 (スコア:1)
もちろん有効期限も新しくなってました。
カード番号も、下の方のとおり、下2桁目が+1されたんです。
そういえば同じ時期に契約した仲間の番号も似たり寄ったりなので、結構番号って簡単に推測できたりしそうですね。
あれって番号の規則は発行業者ごとに決まっているんでしょうか?それとも元締め(?)が決めてるんでしょうかね。
しょめい。
Re:漏れた可能性があると再発行されたカード番号 (スコア:1, 参考になる)
頭一桁:カードブランド 3:JCB 4:VISA 5:Master
頭4桁:カード発行会社-貸し出しの可能性もあり
最後の一桁:チェックデジット
です。
例として………三井住友VISAカードの場合、4980からはじまります。
しかし、ソニーファイナンスは蜜墨から借りているので、ソニファのVISAカードも4980からはじまります。
Re:漏れた可能性があると再発行されたカード番号 (スコア:1)
カード発行会社を表す数字 (BIN) は最初の6桁です。 4980で始まるのはVISA Japanに所属する会社が多いようです。 また、カード会社によっては複数の番号を利用していることがあります。 (手持ちのカードだと三井住友は498000, 498011がありました。)
最初の1桁に3を使っている会社はJCB以外にもAmex、Dinersがあります。 ただし、最近北米で発行されたDinersはMasterCardの番号とロゴが付いているようです。
HIRATA Yasuyuki
ようするに (スコア:3, すばらしい洞察)
いくら技術が進もうと、いくら強固になろうと、本質を理解してどこが守るべきものなのかを人間が理解しないと、いつまでたってもダダ漏れですな。むしろ最近は技術の進歩の中で
進歩した技術 = もう安心
みたいな思考停止パターンが多いですよね。はっきりいって時代が進んで文明レベルはあがったかもしれませんが、人間レベルは逆に落ちてきている気がする。
Re:時代が進んで文明レベルはあがったかもしれませんが、人間レベルは逆に落ちてきている (スコア:2, おもしろおかしい)
>はっきりいって時代が進んで文明レベルはあがったかもしれませんが、人間レベルは逆に落ちてきている気がする。
うーん…似たようなフレーズを、さっきも読んだ気がする…どこだっけ…?
ああ、あった、これだこれだ [wiredvision.jp]
Re: (スコア:0)
文明が「人間が処理すべき情報を集約して減らす」のではなく、「大量の情報を処理できるようにする」方向に向かっているウチは、処理あたりの注意力の希薄化は当然のことかと思いますが…。
Re: (スコア:0)
末尾2行は蛇足では?
ダブルスタンダードに陥ってないか?
「業界最先端の暗号化」 (スコア:1)
結局は枯れた技術のほうがいいってことか…:p
#ACは価値ある発言してください
Re:「業界最先端の暗号化」 (スコア:1)
暗号化→ASCIIコードまたはEBCDICコードにしていた
これでも一般的には暗号化らしいよ。
Re: (スコア:0)
最先端=ノーガードって意味なのか。カカクコムか。
Re: (スコア:0)
弊社ではチャレンジーレスポンス方式を改良した
”mountain-river”認証方式を新規採用しております。
業界最先端 (スコア:0)
可能性としては 2 つあると思う:
クレジットカードってそういうもの (スコア:1)
クレジットカードって、もともとノーガード、損害は保険でカバーって設計。
別にクレジットカード番号や、有効期間、氏名が漏れたって問題ない。
もともとこれらはクレジットカードを使う時に公開する情報なんだし、
クレジット利用者はこの程度の漏えいは問題にしないでしょう。
Re:クレジットカードってそういうもの (スコア:1)
電話がカード会社からかかってきて、漏れたリストにあなたのものもあるのでカードを交換するとのことでしたが…。
カード交換はほとんど手間なしでしたが、その後、決済に使ってるあちこちのサービスに再登録するのが結構手間でした。
なので、やっぱ漏れないほうがいいです。不正利用は気になりませんけど。
#ACは価値ある発言してください
Re: (スコア:0)
> もともとこれらはクレジットカードを使う時に公開する情報なんだし、
クレジットカード使ってないのに公開されてるのが問題なんですけど
Re: (スコア:0)
> もともとこれらはクレジットカードを使う時に公開する情報なんだし、
使う時に、使った店に対して洩れる物ですよね。
そしてその店は守秘義務を持つ。
たとえばAという店に公開して、Aの店員が悪用したり、Aの店員がBという人物に
教えてBが悪用したりということを大規模に繰り返せば、洩れたのがAという店だと
いうのがある程度推測できてしまう。
小規模であるならば保険でカバー。大規模に関してはそういう店を斬ることで対応
ってことじゃないの?
#今回のは上のAの店と同じで本来なら斬られる対象だな。
Re: (スコア:0)
> 別にクレジットカード番号や、有効期間、氏名が漏れたって問題ない。
保険でカバーといっても、どのくらいの料率でカバーできるのか、てのが現実には大切なので。
電子化が進んだ結果として、漏れた場合の被害額が大きくなる可能性が高まってきている、ってポイントは抑えておいたほうがいいかと思います。
Re:クレジットカードってそういうもの (スコア:1, すばらしい洞察)
事故で漏れたものは保障してくれるけど、自分で漏らしたものまで保障するわけがないだろう。
お前は何を言っているんだ?
とんだ抜け穴だ (スコア:1)
社外取引企業とのやり取りには暗号化していなかったでOK?
ユーザー→SSL→販売業者→非暗号→カード会社
間抜けすぎますな。
日本のカード会社では同様のことがない事を願いたい。
Re:とんだ抜け穴だ (スコア:1)
カード会社(取次業者)との接続は、通常は専用線(INS64)ですから。(専用線を引かない場合はダイアルアップ)
# 通常は、取次業者の提供する接続用のコンポーネントを使います。
# この通信用コンポーネントで暗号化されている筈です。(されているといいな‥)
# システムの内側に専用線経由の通信を盗聴するような仕組みを仕込むような侵入者なら取次業者の通信用コンポーネントくらい解析しているかもしれませんが…
notice : I ignore an anonymous contribution.
Re: (スコア:0)
よくあるWebからの問い合わせなんかで
ユーザー→SSL→Webサーバー→SMTP→メールサーバー→POP→担当者
なんてのは良くある。SMTPもPOPも平文のまま。
そういう小さいレベルでの
「セキュアでなければいけない経路が終端までセキュアでない」
というのは結構見るよ。
Re: (スコア:0)
ユーザー→SSL→Webサーバー→SMTP over SSL→メールサーバー→POP over SSL→担当者
ならSMTPやPOPでも問題なし。
Re: (スコア:0)
「セキュアでなければいけない経路」を検討した結果ならば、
Re: (スコア:0)
日本最大の某モールは決済代理がウリの一つのはずなのに店舗側に必要ないはずのカード情報を漏らしたことで
最終的に店舗側の退職者によるデータ持ち逃げで漏洩した事例もあり、
怖いのはカード会社だけじゃないんですよね。。。
Re:怖いのはカード会社だけじゃない (スコア:0)
そうだな
俺もいつ、酔っぱらって、自分のカード情報を公共の場で公開してしまうかもしれない
人間の行動が一番重要だよな、気をつけねば
Snifferでって、あんた。。。。 (スコア:1)
どこでキャプチャしたんだよ。
物理的なセキュリティもっとちゃんとしろって感じ。
--- show mpls ldp neighbor
Re:Snifferでって、あんた。。。。 (スコア:2)
恐らく、専用回線を使っていて、モデム間の有線部分でしかけられたのでしょうね。
専用回線を使っていて平文のまま垂れ流しているシステムは結構あるのではないでしょうか。
内部に共犯者がいれば簡単に装置をしかけれるでしょうね。
数千本の電線から数十本の電線に判別対象数が下がるし、タグでも付いていれば一目了然だし。
Re:Snifferでって、あんた。。。。 (スコア:1)
残念ながら、Inquirerの原文では"sniffer software"と小文字だったのだ。
# リリースには"malicious software"云々とあったので、実はSnifferだったりするのかも(コラ
アレと一緒 (スコア:0)
警察官が立ち寄らないのに掲示されている「警察官立ち寄り所」看板
防犯カメラが設置されていないのに貼られている「防犯カメラ作動中」シール
Re:アレと一緒 (スコア:1, おもしろおかしい)
Pマーク
ISMS
ISO
Re:アレと一緒 (スコア:1)
留まりましたね。
‥‥と思って、念のためにホームページを確認したら、2008年7月にPマーク取得っ
て書いてます。続報がちょっと見つからなかったのですが、自主返上or改善観察期間中に
取り消されたので、改めて取得し直したのでしょうか。
これで禊を済ませたとか考えてたらいやだなぁ。
Re: (スコア:0)
PマークやISMSをハッタリと思っている奴の9割は無知。
お前らが思っている以上に認証受けるの大変なんだぞ?
残りの1割に入る奴なら、ここではPCI DSSの名を出すはずだ。
クレジットカードの話なんだし。
Re:アレと一緒 (スコア:5, すばらしい洞察)
認証受けるのが大変ってのは間違いでは無いけれど、
認証受けたからといって従業員すべてがその意図をきっちり理解して
実践しているかどうかと言うことと、認証を無事受けられたこととは
また違う次元(ってか時期?)の話なので、一般の人の認識は完全に
間違いとは言い切れないのもまた事実。
多分。
Re:アレと一緒 (スコア:3, すばらしい洞察)
> お前らが思っている以上に認証受けるの大変なんだぞ?
以前、当時の勤め先で主要な取引先から取る様に言われ、
取得に要する諸々を調べる様に指示があったのですが、
「認証受けるの大変」には同意します。
しかし、そこで求められた事が目的に対し実効性があるとは思いません。
ちなみに、その「主要な取引先」は、
Pマーク取得後にPマークが求める要件を満たさない管理運用で個人情報を漏洩し、
Web上でも「認証取り消した方がPマークの信用性を守れるんじゃね?」
等と言われていましたが、結局取り消されませんでした。
Re:アレと一緒 (スコア:1)
そ、そんなこと書いたら特定されちゃうyo!!
…とおもったけど、よく考えたら多すぎてどれだかわかんないよね。
#ひと安心(なにがだ
Re: (スコア:0)
Re: (スコア:0)
#ちょっと違うが言ってみたかった
Re:アレと一緒 (スコア:1)
# や、手足届かんだろ。jk
## 運転してんのかよ!
### 運転手の知能は赤ん坊なみかもしれんが。
Re: (スコア:0)
羨ましいんですね? (スコア:0)
素直になれよ
Re: (スコア:0)
チワワだって猛犬 [msn.com]です、人によっては。
Re: (スコア:0)
Re: (スコア:0)
絶対ログインしないのに、プレビュー時に表示される「アカウントをゲット!してはいかがですか?」の警告
登場人物は18歳以上です。と冒頭にあるのに、「小学5年生、10歳です」という台詞を言う少女
Re:アレと一緒 (スコア:1)
登場人物は嘘をつかないとは書いてないでしょ。
Re:もしかしてこいつか (スコア:2, 参考になる)
通常、決済は品物を発送した後です。
その場で行うのはオーソリ(与信確認)です。
# アマゾンがオーソリを後回しにしていても驚きませんけど
notice : I ignore an anonymous contribution.