パスワードを忘れた? アカウント作成
50087 story
情報漏洩

米国でクレジットカード情報が大量に流出 68

ストーリー by hayakawa
「業界最先端の暗号化」っていったい何? 部門より

insiderman 曰く、

USA TodayInquirerなどが報じているが、米国の大手カード処理会社Heartland Payment Systems「カード決済システムが攻撃され、数千万件の個人情報が流出した可能性がある」と発表した。

Inquirerによると、システムへの侵入が確認されたのは先週のことで、カード番号や有効期限、そして一部のカード所有者の名前といった情報が流出したそうだ。クラッカーはSnifferを使って同社とカード会社や銀行がやりとりする情報を傍受していたと見られている。同社は「業界最先端の暗号化」を行っているとしていたが、情報をやりとりする際はデータを暗号化しておらず、そのためクラッカーが認証情報を容易に傍受することができたようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 補足 (スコア:5, 参考になる)

    by hylom (27448) on 2009年01月22日 11時52分 (#1496483) ホームページ 日記

    日本語関連記事もでてますね。

    公式発表では「買い物の情報、社会保障番号、暗証番号(PIN)、住所、電話番号は流出していない」といっているだけで、何が流出したのかを名言していないのですが、NewYork Times [nytimes.com]の取材によると「カード番号、有効期限、カード所有者の名前の一部が流出」した可能性がある、ということだそうで。流出した件数も公式には発表されていないようです。

  • アメリカのカードなのですが、「番号が漏れた可能性がある」と、新しいカードが送られてきたことがあります。

    ただ、そのカード番号、下2桁が違ってただけなのです。

    もちろん最後の桁はチェックデジットなわけで・・・・。

    所詮その程度のセキュリティなわけですわ。

    NYの日系ホステルでは、予約のフォームに、カード番号と、裏のセキュリティコード、パスポート番号と、
    これでもかという個人情報を洗いざらい非HTTPSのフォームに書かされました。
    これも普通の人は気にせずホイホイ書き込んじゃうんでしょうね。(って私も結局書き込みましたが。

    --
    しょめい。
  • ようするに (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2009年01月22日 11時17分 (#1496453)

    いくら技術が進もうと、いくら強固になろうと、本質を理解してどこが守るべきものなのかを人間が理解しないと、いつまでたってもダダ漏れですな。むしろ最近は技術の進歩の中で

    進歩した技術 = もう安心

    みたいな思考停止パターンが多いですよね。はっきりいって時代が進んで文明レベルはあがったかもしれませんが、人間レベルは逆に落ちてきている気がする。

    • >はっきりいって時代が進んで文明レベルはあがったかもしれませんが、人間レベルは逆に落ちてきている気がする。

      うーん…似たようなフレーズを、さっきも読んだ気がする…どこだっけ…?

      ああ、あった、これだこれだ [wiredvision.jp]

      衛生的な観点から、ボタンやノブにセンサーが取って代わった。環境的な観点から、手を洗い乾かす方法は、低圧の冷たい水と空気というものになった。そして、人間的な観点からは、自分のパンツで手をふくという方式に退化しつつある、のかもしれない。

      親コメント
    • by Anonymous Coward
      人間レベル、というのは正直良くわからない概念だなあ。

      文明が「人間が処理すべき情報を集約して減らす」のではなく、「大量の情報を処理できるようにする」方向に向かっているウチは、処理あたりの注意力の希薄化は当然のことかと思いますが…。
  • クラックされた会社はよくこんなことをいってるけど、
    結局は枯れた技術のほうがいいってことか…:p
    --
    #ACは価値ある発言してください
    • 暗号化→ASCIIコードまたはEBCDICコードにしていた

      これでも一般的には暗号化らしいよ。

      親コメント
    • by Anonymous Coward

      最先端=ノーガードって意味なのか。カカクコムか。

      • by Anonymous Coward
        いえ、業界ではノーガードが標準なので
        弊社ではチャレンジーレスポンス方式を改良した
        ”mountain-river”認証方式を新規採用しております。
    • by Anonymous Coward

      可能性としては 2 つあると思う:

      • 「情報流出ギョーカイ」では最先端でした。
      • 反対側の先っちょでした。
  • クレジットカードって、もともとノーガード、損害は保険でカバーって設計。

    別にクレジットカード番号や、有効期間、氏名が漏れたって問題ない。
    もともとこれらはクレジットカードを使う時に公開する情報なんだし、
    クレジット利用者はこの程度の漏えいは問題にしないでしょう。

    • 数年前に同じように漏れたことがあって、そのときは自分のも対象になってました。
      電話がカード会社からかかってきて、漏れたリストにあなたのものもあるのでカードを交換するとのことでしたが…。

      カード交換はほとんど手間なしでしたが、その後、決済に使ってるあちこちのサービスに再登録するのが結構手間でした。
      なので、やっぱ漏れないほうがいいです。不正利用は気になりませんけど。
      --
      #ACは価値ある発言してください
      親コメント
    • by Anonymous Coward

      > もともとこれらはクレジットカードを使う時に公開する情報なんだし、

      クレジットカード使ってないのに公開されてるのが問題なんですけど

      • by Anonymous Coward

        > もともとこれらはクレジットカードを使う時に公開する情報なんだし、
        使う時に、使った店に対して洩れる物ですよね。
        そしてその店は守秘義務を持つ。

        たとえばAという店に公開して、Aの店員が悪用したり、Aの店員がBという人物に
        教えてBが悪用したりということを大規模に繰り返せば、洩れたのがAという店だと
        いうのがある程度推測できてしまう。

        小規模であるならば保険でカバー。大規模に関してはそういう店を斬ることで対応
        ってことじゃないの?
        #今回のは上のAの店と同じで本来なら斬られる対象だな。

    • by Anonymous Coward
      > クレジットカードって、もともとノーガード、損害は保険でカバーって設計。
      > 別にクレジットカード番号や、有効期間、氏名が漏れたって問題ない。

      保険でカバーといっても、どのくらいの料率でカバーできるのか、てのが現実には大切なので。

      電子化が進んだ結果として、漏れた場合の被害額が大きくなる可能性が高まってきている、ってポイントは抑えておいたほうがいいかと思います。
  • by naruenosekai (13637) on 2009年01月22日 12時16分 (#1496507)
    社内に対しては暗号化して流出を防いでいたが、
    社外取引企業とのやり取りには暗号化していなかったでOK?

    ユーザー→SSL→販売業者→非暗号→カード会社

    間抜けすぎますな。
    日本のカード会社では同様のことがない事を願いたい。
    • by Dobon (7495) on 2009年01月22日 20時23分 (#1496851) 日記
      国内の販売業者の場合、大丈夫だと思います。
      カード会社(取次業者)との接続は、通常は専用線(INS64)ですから。(専用線を引かない場合はダイアルアップ)

      # 通常は、取次業者の提供する接続用のコンポーネントを使います。
      # この通信用コンポーネントで暗号化されている筈です。(されているといいな‥)

      # システムの内側に専用線経由の通信を盗聴するような仕組みを仕込むような侵入者なら取次業者の通信用コンポーネントくらい解析しているかもしれませんが…
      --
      notice : I ignore an anonymous contribution.
      親コメント
    • by Anonymous Coward
      カード会社は知らないけど、
      よくあるWebからの問い合わせなんかで

      ユーザー→SSL→Webサーバー→SMTP→メールサーバー→POP→担当者
      なんてのは良くある。SMTPもPOPも平文のまま。

      そういう小さいレベルでの
      「セキュアでなければいけない経路が終端までセキュアでない」
      というのは結構見るよ。
      • by Anonymous Coward

        ユーザー→SSL→Webサーバー→SMTP over SSL→メールサーバー→POP over SSL→担当者
        ならSMTPやPOPでも問題なし。

      • by Anonymous Coward

        「セキュアでなければいけない経路」を検討した結果ならば、

        ユーザー      → SSL →             [ Webサーバー → SMTP → メールサーバー → POP → 担当者 ]
                         ↑                                             ↑
           セキュアでなければいけない経路           

    • by Anonymous Coward

      日本最大の某モールは決済代理がウリの一つのはずなのに店舗側に必要ないはずのカード情報を漏らしたことで
      最終的に店舗側の退職者によるデータ持ち逃げで漏洩した事例もあり、
      怖いのはカード会社だけじゃないんですよね。。。

  • どこでキャプチャしたんだよ。

    物理的なセキュリティもっとちゃんとしろって感じ。

    --
    --- show mpls ldp neighbor
    • 恐らく、専用回線を使っていて、モデム間の有線部分でしかけられたのでしょうね。
      専用回線を使っていて平文のまま垂れ流しているシステムは結構あるのではないでしょうか。
      内部に共犯者がいれば簡単に装置をしかけれるでしょうね。
      数千本の電線から数十本の電線に判別対象数が下がるし、タグでも付いていれば一目了然だし。

      親コメント
    • 残念ながら、Inquirerの原文では"sniffer software"と小文字だったのだ。

      # リリースには"malicious software"云々とあったので、実はSnifferだったりするのかも(コラ

      親コメント
  • by Anonymous Coward on 2009年01月22日 11時45分 (#1496473)

    警察官が立ち寄らないのに掲示されている「警察官立ち寄り所」看板
    防犯カメラが設置されていないのに貼られている「防犯カメラ作動中」シール

    • Re:アレと一緒 (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2009年01月22日 12時10分 (#1496503)

      Pマーク
      ISMS
      ISO

      親コメント
      • by celtis (33470) on 2009年01月23日 13時24分 (#1497246)
        過去最大級の情報漏洩を起こした大日本印刷でも、Pマークは取り消されずに改善要請に
        留まりましたね。

        ‥‥と思って、念のためにホームページを確認したら、2008年7月にPマーク取得っ
        て書いてます。続報がちょっと見つからなかったのですが、自主返上or改善観察期間中に
        取り消されたので、改めて取得し直したのでしょうか。

        これで禊を済ませたとか考えてたらいやだなぁ。
        親コメント
      • by Anonymous Coward

        PマークやISMSをハッタリと思っている奴の9割は無知。
        お前らが思っている以上に認証受けるの大変なんだぞ?

        残りの1割に入る奴なら、ここではPCI DSSの名を出すはずだ。
        クレジットカードの話なんだし。

        • Re:アレと一緒 (スコア:5, すばらしい洞察)

          by backyarD (36899) on 2009年01月22日 13時58分 (#1496587) 日記

          認証受けるのが大変ってのは間違いでは無いけれど、
          認証受けたからといって従業員すべてがその意図をきっちり理解して
          実践しているかどうかと言うことと、認証を無事受けられたこととは
          また違う次元(ってか時期?)の話なので、一般の人の認識は完全に
          間違いとは言い切れないのもまた事実。

          多分。

          親コメント
        • Re:アレと一緒 (スコア:3, すばらしい洞察)

          by Anonymous Coward on 2009年01月22日 14時11分 (#1496597)
          > PマークやISMSをハッタリと思っている奴の9割は無知。
          > お前らが思っている以上に認証受けるの大変なんだぞ?

          以前、当時の勤め先で主要な取引先から取る様に言われ、
          取得に要する諸々を調べる様に指示があったのですが、

          「認証受けるの大変」には同意します。
          しかし、そこで求められた事が目的に対し実効性があるとは思いません。

          ちなみに、その「主要な取引先」は、
          Pマーク取得後にPマークが求める要件を満たさない管理運用で個人情報を漏洩し、
          Web上でも「認証取り消した方がPマークの信用性を守れるんじゃね?」
          等と言われていましたが、結局取り消されませんでした。
          親コメント
    • by Anonymous Coward
      チワワやマルチーズが吠えているのに「猛犬注意」ステッカー
    • by Anonymous Coward

      絶対ログインしないのに、プレビュー時に表示される「アカウントをゲット!してはいかがですか?」の警告
      登場人物は18歳以上です。と冒頭にあるのに、「小学5年生、10歳です」という台詞を言う少女

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...