パスワードを忘れた? アカウント作成
273809 story
ニュース

ビックカメラドットコム、IDとポイントが不正使用の被害 50

ストーリー by kazekiri
消えたポイント 部門より

cvmonto 曰く、

ビックカメラの通販サイトであるビックカメラドットコムにて、会員のID、パスワードが不正使用され、会員のポイントを利用して不正に商品の購入もされていたことが分かったようだ ( 日本経済新聞MSN産経ビックカメラのリリース)。 現時点での被害件数は、不正ログインされたのが124件で、実際に商品の購入にまで至ったのは20件とのことである。サイトに関しては13日から現在も閉鎖されている。

既に被害者のポイントは戻され、店舗だけを利用する客のポイントは従来通り使えるとのことだが、100件以上の不正ログインがあったということは、大規模な情報流出も可能性として否定できないかもしれない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2010年11月15日 17時26分 (#1859142)
    マスコミ報道されなかったので知らない人も多いかもしれませんが、かつて某銀行は、クレジットカードの暗証番号 + ネットバンキング用の7桁(だったかな)の追加の暗証番号でした。そして、暗証番号を連続で間違うと口座がロックアウトされますが、暗証番号を固定して口座番号を総当たりする攻撃に対してはノーチェックで、ものすごい勢いでブルートフォースされてしまったそうです。どれくらいの被害額だったのかはトップシークレットらしく漏れ聞こえてきませんでした。

    かなりのスピードで総当たりされれば検出も可能ですが、ボットネットを利用するなどして1つのIPアドレスから1日1回程度の試行だと、攻撃元だけを遮断することができず、サービスを休止するしかありません。そういうわけで、金の絡むシステムでは、パスワードは脆弱すぎます。
    • 某大手銀行なんか、ネットのパスワードに使えるのは、数字とアルファベットのみですよ。
      比較的強度の強いパスワードを作れる@、+、-のような記号は受け付けてくれません。
      不正アクセスの被害は保証すればいいんだろうというスタンスなんでしょうか。
      親コメント
    • by Anonymous Coward on 2010年11月16日 2時26分 (#1859391)

      結局今回のは脆弱性を突かれたものじゃないの?

      以前のビックモバイルサイトはセッションIDをgetで引き回した上
      なかなかリフレッシュもしないから、掲示板に貼られたURL経由での
      セッションハイジャックもあったけど

      親コメント
    • by Anonymous Coward
      私が現在愛用してる某銀行なんか4桁のパスワードですが。そのくせソフトウェアキーボードなんか装備しちゃっててwww
      昔使ってた某証券会社もキャッシュカードの4桁暗証番号直打ちで、よく考えた方がいいですよ~とサポセンに忠告したのに、全然問題ありません的な回答もらったし。
      まあパスワードは役に立たないとか言っちゃう人も同類か
    • by Anonymous Coward

      普通、ログイン用のパスワードと、振込時に入力する
      パスワードって別ですよね?
      たとえ不正ログインされたとしても、即不正出金等の
      被害にはつながらないと思いますけど。
      まあ不正ログインされる時点でよろしくないのは当然ですが。

    • by Anonymous Coward

      「某銀行」とか、伏せる必要あるんですか。
      解決済みの事案なので、話題を蒸し返すのは可哀想だと思ったのなら別にいいんですが
      「マスコミ報道されなかったので」という不満めいた(?)意思と噛み合わない気がしたので。

      #バラすと組織に消されるから?

      • by Anonymous Coward
        マスコミ報道されない→銀行がプレスリリース出してない→誰でも知り得る話ではない→業務上知り得た云々に該当→本来なら社名を伏せてもアウト
    • by Anonymous Coward
      うちのクレカ(ポケットカード)のオンライン明細システムは パスワードに大文字が禁止ですね。 意味がよくわかりませんが、 不正にはいられてもできることが知れてるとはいえ 住所とかの個人情報が見れるんですよね…
  • 近所にビックカメラが開店したので、店頭でケータイでポイントカードを使いたいと言ったところ、
    ビックカメラ.comへ登録しろと言われ、登録したにもかかわらず、メンテナンス中でポイントカード連携できず。

    メンテナンスってことは、既に判明した後だったんでしょうね・・・
    店員には知らされていなかったとはいえ・・・判明後に登録させるとか・・・しかも目的のことはできず・・・
    この仕打ちはひどい・・・

  • by ksyuu (4917) on 2010年11月15日 23時59分 (#1859364) 日記

    チト気になって www.biccamera.com を見てみると,単純に「メンテナンス中」となっていて,
    トラブルの情報は IR情報のサイト(www.biccamera.co.jp) にしか書いてありません。

    株主や投資家には詳しいことを伝えるけど,客は適当にあしらう方針なんですかね?
    それとも sofmap へのリンクはしっかりと置いているから,客は何も知らずに金を払うだけで
    いいってことでしょうか。

  • by iwakuralain (33086) on 2010年11月16日 9時15分 (#1859424)

    確かどこかのねずみの国関連のログインのパスワードのヒントがどのキャラが好き?みたいなのがあったと思う。
    ちょっと関係ないけどそれを思い出しちゃった。

    #大抵はねずみが好きなんだと思うよ

  • by Anonymous Coward on 2010年11月15日 16時40分 (#1859128)

    初期パスワードが生年月日だった [bakera.jp]とか。
    でもそれなら100件じゃ済まないか。

    • 20年ほど前、地元の信金でキャッシュカードが発行され始めた頃、
      初めてカードを利用する母親に泣きつかれてATM(というか多分CD)について行った時、

      俺「暗証番号なによ?」
      母「は?なにそれ?」
      俺「申し込みの時に4桁の番号書いたんじゃないの?」
      母「知らんよ。なんか知らんけど勝手にカード届いたんだし」

      なんだそれ?と思いながら、駄目もとで母親の誕生日を入れたら見事に認証通った。

      流石に昔の話ですが、例え大金を扱うような公共機関でも、あてにならないなぁ…
      とか思ったあの頃
      親コメント
  • by Anonymous Coward on 2010年11月15日 17時30分 (#1859145)

    Webもだめで、おサイフケータイのアプリからもだめ
    店行かないと被害にあってるかも確認できない…

    5ケタポイントが残ってるだけに、被害対象になってるかどうかが気になる

    • by Anonymous Coward on 2010年11月15日 17時48分 (#1859160)

      そんなもの溜め込むからですよ。
      ポイントなんか利息もつかない債権と同じです。
      元々が、有利な物品にでも交換して、可能な限り早く取り戻しておくべきものだったのです。
      今回は被害分が補償されるそうですからまだ良かったじゃありませんか。

      親コメント
      • 「補償」されて「お詫び」の一つもくるなら、ためこんでてもいいんじゃね?

        ……近場の閉店や倒産には意味無いけどね!

        #全て動物の絵本に変換ずみ

        親コメント
      • by Anonymous Coward
        > ポイントなんか利息もつかない債権と同じです。
        > 元々が、有利な物品にでも交換して、可能な限り早く取り戻しておくべきものだったのです。
        利息がつかないという点についていえば当座預金でも一緒ですが、当座預金という預金形態はいまだ使われ続けています。それには、当座預金ならではのメリットがあるから、でしょう。

        当座預金のメリットはといえば、現金を持ち歩かずとも時間帯を問わずいつでも手数料ゼロで現金と同様に即時決済できる(ただし使える店が限られる)、万が一盗難にあったとしても不正使用を防止できるとか補填が行われるとい
        • by Anonymous Coward
          ポイントカード落として誰かに使われても補填されません。ポイントカード落として無くしても補填されません。お店が倒産したら使えません。ポイントで購入したものにはポイントがつきません。小切手と比較するなんてむちゃくちゃもいいところ。
          • by Anonymous Coward

            それどころか、一方的に廃止されても文句言えないしね。

            #但し、ソースは森永卓郎がが出演するTBSの番組w

          • by Anonymous Coward
            > ポイントカード落として無くしても補填されません。
            これは嘘だよね。ポイントカード無くしても連絡すれば残高は戻ってきます。少なくともヨドバシとかビックはそう。また紛失した場合でも連絡すればすぐに使用停止にできますよ。紛失した後、連絡するまでの間の不正使用がどうなるかは知らないけど。

            > お店が倒産したら使えません。
            小切手も振り出し者が倒産したら使えなくなる。

            ついでに、
            > それどころか、一方的に廃止されても文句言えないしね。
            振り出し者が振り出し済み小切手を一方的に払い戻し停止することもできる。なんて考えてみると、意外に小切手と特定店舗のポイント制度って似通った部分があるのかもしれない、とか思った。
      • by Anonymous Coward

        よく「利息が付かないからすぐ使わない奴は店の思うつぼ!」とかっていうけどさ、
        実際ヨドやビックのポイントに対してつく利息っていくらなのよ?
        って話でもあるわけで。
        俺の場合は数年かけて今4万程度ポイント貯まったけど、この分をどういう
        金融商品に回せば100円にでもなるんでしょうかね?

        店側から見れば、確かにかなりの額を顧客側が抱えてくれるので、
        無利子の融資を受けてるのと同じだろうというのは確かですし、
        その意味では「店の思うつぼ」なんでしょうが「店の思うつぼ=客が馬鹿を見てる」
        といった論調が多い、「すぐに使え」論には、妙な被害者意識が見えるようで
        余り共感を覚えないんですよね…

        • by Anonymous Coward

          デフレ傾向にある現代ではむしろすぐ使っちゃう方が勿体ないとも言えますな。

    • by Anonymous Coward

      トップページに被害者の実名がずらっと並んでいたらもっと嫌だな

      • by Anonymous Coward

        テレビで放送終了後の砂嵐の中に被害者の実名がずらっと並んでいたらもっと嫌

  • http://itpro.nikkeibp.co.jp/article/NEWS/20101115/354122/ [nikkeibp.co.jp]

     こうしたことを受けて、同社は現在、通販サイト上で使えるポイントの利用を停止している。通販サイトのポイントと共通化していないポイント(店舗だけで利用できるポイントカードのポイント)は、通常通り利用できるという。

    ITproの記事ではこう書かれているわけですが、通販サイトと店頭でポイントを共通化している人は今は店頭ではポイントを利用できるのでしょうか?ここ書いてないので分かりません。

    • 自分の経験だと,ドットコムと店頭のポイントは元から共通できていません。あの記事の文章だと読み取りにくいのですが,「(元々)通販サイトのポイントと共通化していない(店頭の)ポイントは通常通り…」と読むのが正解かと。
      親コメント
      • by Anonymous Coward

        いや、できてませんっていうか 最初の状態はそうかもしれないけど
        店舗で手続きすれば共通化できたような…

        うろ覚えで恐縮ですが 「できていません」って確かですか?

      • by Anonymous Coward
        「通販ポイント」と「店舗ポイント」は店頭で共通化手続きを行うことで一本化できます。

        「通販サイト上で使えるポイントの利用を停止している」ので、「通販ポイント」は利用不可。
        「通販サイトのポイントと共通化していないポイントは、通常通り利用できる」ので、共通化手続きをしていない場合に限り「店舗ポイント」分は利用可能ということだと思います。
        # 共通化手続きを行うと「店舗ポイント」も「通販サイト上で使えるポイント」となり、前者の条件に引っかかります。
  • by Anonymous Coward on 2010年11月15日 19時41分 (#1859238)

    先日「重要なシステム変更のお知らせ」として、セキュリティ強化のメールが来ましたが………

    __________________________
      変更内容
       ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
    【IDとパスワードは同一のものを登録できなくなります。】

      基本情報の変更画面にて、ID、パスワードまたは他の情報
      を変更しようとしたとき、IDとパスワードが同一では変更
      ができません。

    エエエエエエエエエェェェェェェ(゚Д゚)ェェェェェェエエエエエエエエエ

    さらに「My JR-EASTでも同様のシステム変更を準備中です」と書いてあり、えきねっとをMy JR-EASTでログインする限り、ID=Passwordが可能なようです。

    #root:toorとかroot:adminじゃなくってroot:rootかよ!

  • 他のサイトで (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2010年11月16日 2時14分 (#1859390)
    他のサイトで漏れたID・パスワードを使って、だだーっとログイン試行されたんじゃ
    ないですかね。何万か試行したうち、120件が突破できてしまった…とか。
  • クレジットカード会社は、こういう事態にセキュリティ業者を斡旋なり派遣なりしないのだろうか。 それとも被害の調査だけしてシステムにはノータッチなのだろうか。
  • by Anonymous Coward on 2010年11月15日 17時38分 (#1859154)
    電子マネーに準じたセキュリティが確保されているかは怪しい。
    そんなものに数万円(相当)とか入れっぱなしにしてて安心しちゃぁいけないよ。
    所詮はお店のスタンプカードの類ってことを忘れずに。
  • by Anonymous Coward on 2010年11月16日 13時51分 (#1859647)
    システムの達人に会いにいこう! 株式会社ビックカメラ様 [neu.co.jp]
    店長さん経験者なら万引きの怖さは、身にしみて分かっているはずなんですが?
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...