Vector、不正アクセスにより最大26万1161人の個人情報が流出した可能性 63
ストーリー by headless
侵入 部門より
侵入 部門より
coara 曰く、
ベクターは、3月19日から21日にかけて一部のサーバーが不正アクセスを受け、個人情報が流出した可能性があることを発表した(お知らせ、 プレスリリース)。
不正アクセスを受けたサーバーに保存されていた個人情報は最大26万1,161件。2008年2月以降にソフトウェアを購入したユーザーおよびPC向けオンラインゲームで課金サービスを利用したユーザーの一部が該当する。一部にはクレジットカード情報も含まれており、最悪の場合は全情報が流出した可能性もあるとのこと。ベクターでは3月22日までに侵入経路を遮断し、不正アクセスを受けたサーバーから個人情報を削除するとともに、個人情報が保存されないようにシステム改修を行った。また、3月23日からは一時的にクレジットカード決済を停止している。
タレコミ子もこの期間にBecky!を購入していたため、追加情報次第でカード番号の変更を行う予定である。
ちなみに、Vectorソフトライブラリ関連サーバーへの不正アクセスの形跡はないが、3月21日に作者あてのメールを送信するサーバーでハードウェア障害が発生しているとのこと。
物は言いよう (スコア:4, すばらしい洞察)
クレカのデータ流出は割賦販売法でダメよってことになっていますし、カード番号のお漏らしが発覚するとPCIDSSの監査が通らないと加盟店契約取り消しです(例:サウンドハウス、逆例でカード決済復活させたのがバス会社のさくら観光[PCIDSSの監査通している決済会社に投げている])。
最近の購入は (スコア:3, 興味深い)
PayPalに切り替えてたけど、クレジットカード情報消してもらえてたかなぁ...?
# というかクレジットカード会社はそろそろサービス固有番号発行とか考えてほしいんだけど...
# ワンタイムデビットとかは、継続利用には不便なんだよね...あとサービス発行が限定的だし
M-FalconSky (暑いか寒い)
Re:最近の購入は (スコア:1)
既に退会していたんだけど、ちゃんとデータ削除してくれてるんだろうか。
どうせ削除フラグ立てただけの論理削除なんだろうなぁ。
ということで、退会時には個人情報を乱雑にかき回し変更してから退会するのがお勧め。
Re:最近の購入は (スコア:1)
> 既に退会していたんだけど、ちゃんとデータ削除してくれてるんだろうか。
> どうせ削除フラグ立てただけの論理削除なんだろうなぁ。
某健康食品通販会社で働いていたときは、削除フラグ方式でしたね。とはいっても、実際にそんなフラグはなくて情報の一部を特定の値にするだけでしたが。
尤も、チェックデジットの概念がない残念なプログラムを使っていたり、アクセス権の考えが無い運用を続けるようなレベルの会社なので、参考にならないと思いますが。
#ひょっとしたら中小の通販会社は多くがそんなかもしれない。
> 退会時には個人情報を乱雑にかき回し変更してから退会するのがお勧め。
変更履歴とっていたりしてw
Re:最近の購入は (スコア:1)
そのへん、ちゃんとプライバシーポリシーで明言すべきなんだけどねぇ<消費者庁仕事しろ
http://www.vector.co.jp/privacy/ [vector.co.jp]
>クレジットカード情報を含む個人情報について:最長11年間保存します
あはは。。
Re:最近の購入は (スコア:1)
消費者庁サイドが自ら要件と判断している仕事が他者があてにしている消費者庁の仕事の要件とMECE(mutulally exclusive, collectively exhaustive)な関係になっている罠。
Re: (スコア:0)
消費者庁にとっての一番の仕事はマンナンライフがつぶれるまでマスゴミとタッグになって叩き続けることでしたっけ? 今ちょうど野田聖子の旦那が首相だし。
# 今朝こんにゃくゼリーを食べたのでAC
Re: (スコア:0)
> 今ちょうど野田聖子の旦那が首相だし。
えっ?
バカ田大学卒 (スコア:1)
これでいいのだ。
実際の野田首相の奥さんは野田仁実さんって言うらしい。
#オウムの青山と同じ”青山”だからって紳士服売ってる会社を叩くレベルw
Re: (スコア:0)
> > 退会時には個人情報を乱雑にかき回し変更してから退会するのがお勧め。
> 変更履歴とっていたりしてw
不正アクセスとか詐欺などの捜査目的から、今時はほぼ全てのシステムで履歴を残しますね。
何せ昔に比べればディスクなどタダ同然ですし、ログなどの形で本来のデータベースとは
別枠のストレージに入れればいいわけですし。
なので、今では個人情報を変更して退会したところでほとんど意味はないです。
クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
いつもこういう話を聞く度に思うのは、クレジットカードなどの情報そのものをインターネットから直接アクセスできないようなところに分離できないか、ということ。
インターネットから分離して、カード番号その他をいれて、例えば、RS-232Cで接続する別のデータベースサーバに問い合わせて、結果のyesかnoかだけ、答えをもらうようなシステム。これならば、クレジットカード番号が網羅的に抜かれることはない。パスワードだって、そのようにすれば、shadowすら抜かれることもない。
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
補足すると、別にRS232Cみたいのが必要というわけではなく、TCP/IPではない接続ならば、さらに安全性が増す、という話。
一般的には、網羅的にアクセスできないような(できれぱ独自の)プロトコルで分離したデータベースサーバにアクセスするようにすれば、TCP/IPで接続しても、OK。というか、フロントエンドのサーバにDBまで実装されていてそのサーバがクラックされたらDBがアクセスされ放題となってしまうのだけは避けたい。
Re: (スコア:0)
なんにしろ、それが一般的になれば一緒でしょう。
言い換えれば、自前でユニークなシステムを構築しろと言ってるだけ。リスク要因でしかない。
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
そうかな。それは違う。
網羅的にデータを取り出せないようにしておき、そのサーバに直接アクセスする手段をできるだけ制限しておけば、全然違うと思う。
すくなくとも、今回のように短時間ですべての情報が抜かれるおそれは大幅にすくなくなるはず。
Re: (スコア:0)
そもそも今は、クレジットカード情報を個別サービス側で保存するのがナンセンスになってきてないかな。
そのへんはPaypalとかの決済代行使うか、3D-Secure経由で各クレジットカードに直に投げるとかしたほうが
やらかしたときのリスク考えると安全だと思うんだけど。「2クリックで即購入させてウハウハ!」とかいう考えで
延々とカード情報を個人情報と紐付けて抱え込んじゃってるのかなー。特に古いサービスなんかは。
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
それが、サーバ側としては一番簡単な解決法かもれしないですね。
ユーザとしては毎回クレジットカード情報を入力しないといけないけど。
Re: (スコア:0)
毎回入力なんか必要ありませんよ。保存しないで決済代行会社に丸投げするだけです。
パスワードもそうですが、むしろ毎回入力させることでフィッシングやキーロガーやその辺にメモされるなどのリスクが発生するおそれがあります。「○○を行うより行わないほうが無条件に安全」なんてことはめったにないのに思考停止する人が多いのは困ったものですね。
Re: (スコア:0)
> そもそも今は、クレジットカード情報を個別サービス側で保存するのがナンセンスになってきてないかな。
まさにその通りで、毎回入力が必要ないサービスでも通常はバックエンドで決済代行会社に丸投げしています。「個人情報が流出したけどクレジットカード番号は含まれていない」というのはそういうパターンです。ベクターが頭おかしいとしか言いようがない。
>> 個人情報を蓄積していたサーバのシステムを改修し、当該サーバに個人情報が蓄積されないよう変更しました。
1日でこんな変更が簡単にできるんだから、そもそも必要もないのに何らかのミスで蓄積されていたのではないですかね。
Re: (スコア:0)
毎回入れるようになるだけだよ。
それがみんな面倒だと思ってるから、サーバに残しちゃってるわけで。
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
分離したデータベースサーバにパスワードとともにクレジットカード番号などを格納しておいて、パスワードとセットでないと、番号を参照できないようにすれば、うまくいくような気がします。
あるいは、クレジットカード番号はフロントエンドのサーバからは設定できても、参照できないようにするか。
いずれにしても、網羅的に20万人分とか抜かれなければ、たまたま、一人だけ、パスワードが当てられて抜かれてもそれは、そのユーザのパスワード管理が悪いか、強度が弱いか、運が悪かったで済む。
こういう大規模な流出を防ぐことは技術的に解決できそうな気がします。
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:5, 参考になる)
いやいやいやw
別にそんなめんどくさい話じゃなくて、単純に
「入力されたカード情報は決済代行会社に投げるだけで、ショッピングサイト側には保存しない」
とすれば解決する話です。というか今時そうせず、自前でカード情報を保存しているのが既に狂気の沙汰なんです。
そりゃショッピングサイトへのカード情報の入力を全てロギングするようなプログラムを仕込まれたらおしまいですが、
決済代行会社側のカード情報入力画面を使うような作りにすれば、それも回避できます。
# だいたいどこの決済代行会社もそういう仕組みを用意しています。
基本的に、決済代行会社はショッピングサイトへカード情報を全部は公開しませんので(下4桁だけ、など)、
仮にショッピングサイトが完全に乗っ取られたとしても、フルのカード情報が全部漏洩するなんてことにはなりません。
# 決済代行会社によっては有料のオプション契約でカード番号をショッピングサイトの運用者が確認できるようにする、なんてのもありますが。
よく言われる「2度目以降のカード決済ではカード情報の入力をスキップさせたい」なんてのも、
だいたいどこの決済代行会社も「このトークンで○○円の注文を入れる」みたいなAPIを備えていますので、
ショッピングサイト側にカード情報を保存する必要なんて無いんです。
5年前ぐらいには既に多くの決済代行会社のシステムにそのような仕組みが出来ていたと記憶してますので、
2012年にもなって自前でカード番号を保存しているなんてのは、ショッピングサイトのシステム担当者の怠慢以外の何者でもありません。
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
おっしゃるとおり、クレジットカードについてはカード会社に投げるのが安全でしょう。
しかし、網羅的に抜かれたら問題になる情報はクレジットカードだけではありません。そのような情報も分離したデータベースサーバに置けば安全性は高まる、のではないか、という話です。
Re: (スコア:0)
> おっしゃるとおり、クレジットカードについてはカード会社に投げるのが安全でしょう。
違います。カード会社ではなく、決済代行会社です。業態が全く別です。
> しかし、網羅的に抜かれたら問題になる情報はクレジットカードだけではありません。
> そのような情報も分離したデータベースサーバに置けば安全性は高まる、のではないか、という話です。
はい。それはわかりますが、カード情報をどうのこうの、書かれていましたので。
どうも文面からはカード情報とそれ以外の個人情報、これらの漏洩リスク対策を同列に考えているように見受けられますが、
全く別であることを理解していますか?
Re: (スコア:0)
何か勘違いしていますね。
そこから流出するとすればそれはショッピングサイト側ではなく決済代行会社側から流出したことになるのですからショッピングサイト側には何の落ち度もありませんが。
逆にショッピングサイト側が不正アクセスを受けたとしてもクレジット情報自体は別会社の別サーバーにあるのですから流出しようがないという話だと思いますけど。
決済代行会社が信用出来ないのならクレジットカード自体の利用をやめるべきでしょうね。
Re: (スコア:0)
> 何か勘違いしていますね。
> そこから流出するとすればそれはショッピングサイト側ではなく決済代行会社側から流出したことになるのですからショッピングサイト側には何の落ち度もありませんが。
だから自社(=ショッピングサイト)の責任になることは回避できると言っているのでまったく同じことを言っているように思うのですが、何を勘違いしているのですか?
>> カード情報の入力を全てロギングするようなプログラムを仕込まれた
状況でカード番号の漏えいを防げるとか、決済代行会社は魔法でも使ってるんですか?
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:2)
別に大掛かりなシステムを店舗側に求めなくても、カード会社側で、
支払先ごとに、別のセキュリティコード(あるいは別のカード番号)を振り出し可能な
システムにして、支払先店名が合致している場合のみ決済が通るようにしておけば、
流出起因で別の店舗で不正利用される必要もないし、流出元も特定できるし、
同じ店舗で買い物する限りは、再入力する必要もないし、具合がいいと思うのですが。
ちなみに、現行でも、カード会社側の不正利用検出システムは結構、充実しているみたいで、
不正利用者がいざ、カード番号を入手した場合も、不正利用検出システムに引っ掛かって
承認NGになって使えない場合は多いそうです。
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
そうですね。クレジットカードに関してはカード会社の対応などにより、だんだんと安全性は高まってきているとは思います。
しかし、その他の個人情報についてはデータベースをうまく分離しないと、網羅的に抜かれるような事件はなくならないのではないかな。以前、女性向けのサイトで本名、体のスリーサイズや電話番号などが抜かれたことがあったような気がします。クレジットカード情報だけが重要な情報ではありません。
Re: (スコア:0)
>別に大掛かりなシステムを店舗側に求めなくても、カード会社側で、
>支払先ごとに、別のセキュリティコード(あるいは別のカード番号)を振り出し可能な
>システムにして、支払先店名が合致している場合のみ決済が通るようにしておけば、
>流出起因で別の店舗で不正利用される必要もないし、流出元も特定できるし、
>同じ店舗で買い物する限りは、再入力する必要もないし、具合がいいと思うのですが。
その「支払先との対応リスト」が結局利用されてクラックされるだけです。
カード決済では、たとえばベクターは結局のところカード会社に請求を回す必要があり、
ここではどうしても
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
基本的なコンセプトとしては、すでに
- クレジットカード認証はカード会社に投げる、
- パスワードはopenIDのような認証サーバに任せる、
というように、まさにフロントサーバとは分離したデータベースサーバという形態をとっているわけです。
それ以外の情報もできるだけ分離できれば安全性は高まるでしょう。
- 情報をとりださない、
- 取り出すとしても一度に網羅的にとりだせない
- 個々の認証が成立しなければとりだせない
というようにうまく組めれば、分離したサーバから一度に流出することはなくなると思います。
ウイルス対策ソフトを買ってた (スコア:1)
ウイルス対策ソフト、NODをVectorで買ってました。
それ以外にVectorでクレカを使ったことはありません。
ウイルスに感染したことも、NODが検出したこともないのに、
Vectorで買ってたがために個人情報が流出するとは……。
ウイルス対策をしなければ個人情報が漏れることはなかったとか、
どんだけ皮肉じみた嫌がらせだ。
Re:ウイルス対策ソフトを買ってた (スコア:1)
うぎゃ,NODを忘れていた。ってことは私も該当者かもorz
ちなみに、softplazaをVectorに移管したBIGLOBE [biglobe.ne.jp]はサービスを停止していますね。
利益 (スコア:0)
今はナニで儲けてるんだろう。
ペニーオークションとかFXとか、変な?商売には手を出してなかったような気はするけど。
ベクター開くとエロ毛チックなせくしー広告が出たりしてちょっと赤面する。
Re:利益 (スコア:5, 参考になる)
http://ir.vector.co.jp/library/settle/2011_all/ [vector.co.jp]
ここを見ると、売上の6割はオンラインゲームの運営で稼いでるようですね
プロレジシェアレジは芳しくなく
モバゲーグリーでソーシャルゲーにも手を出してみたけど、競争激化でうまく行ってないとの事。
GAMESPACE24というオンラインゲームのWEBサイトを運営してるようなのでシェアレジプロレジ以外でこちらに登録してる方も注意が必要なようですね。
Re:利益 (スコア:2)
このニュースを読んだ時は「いつの間にかソフトバンクグループになっていた」ことの方がショックでした。
Packシリーズのムックはアスキーやインプレスで売っていたと思うので今もその辺だと思っていたのに。
結局カード決済そのものが危ない (スコア:0)
結局、ネットのカード決済って、ほんとやばいんだよね。悪意のない業者であっても。しかも、たった一度の支払いでリスクが一生つきまとう。
ネットの支払いは、被害が拡大しない現金振り込みかカードにひも付かない電子マネーだけが選択肢だと思ってる。
とはいえ、クレジットカードしか受け付けてくれないところも多いんだよなあ。
Re: (スコア:0)
日本には有名なフレーズがあるじゃないか?
先人は素晴らしかった
Re: (スコア:0)
一生?
クレジットカードに有効期限があることをご存じない?
情報流出や不正請求があった場合は、きちんと申告すれば、消費者側が損害をうけることはまずありませんし。
不正請求はクレーム処理(支払い拒否)ができますし、すぐに新しい番号のカードを発行してもらえます。
#会社によっては、届くまで2週間くらいかかりますが。
Re: (スコア:0)
クレジットカードが日本で敬遠されがちなのは、「絶対安全だ」と言い張っていざ事故が起きたら「想定外だ」と言って補償を拒否するやり方が日本標準だからですかね。
Re: (スコア:0)
市場に出回っている色んな教育漫画などでは「絶対なんてありえない・ナメてたらヤバい」と
散々警告していた、という事実があるにも関わらず
(俺が今すぐに挙げられるソースはこれ http://www.amazon.co.jp/dp/4906125220 [amazon.co.jp])
誰が・誰のために・どんなコンテキストで作り
そんで結局どんな人間が何人何回閲覧したのやら知れない
そもそも何が書かれてあるのやら解説がないとよくわかんない資料?が
どこからともなく
「発掘」されたとたんに
「やっぱり!必死になって探してみたらと
Re: (スコア:0)
> 市場に出回っている色んな教育漫画などでは
そんなのは子供向けのおとぎ話で、まに受けてるやつがいたら「学生さん?」とかdisるのが日本標準。
Re: (スコア:0)
もちろん本当におとぎ話なのは安全神話のほうだけど
Re: (スコア:0)
日本の保険会社が個人向けに売っている商品では、対応がひどいものがあるというのは聞きますが、国内で発行されているクレジットカードのクレーム処理を理不尽な理由で拒否された、というのは聞いたことがないですね。
#理不尽でない理由ならば、当然拒否されることはあり得ます。契約書を読みましょう。最近は少なくなったと思いますが、以前はネット通販でのトラブルは補償しない、というカードも結構ありました。
VISA、マスター、アメックス(提携カード含む)は欧米基準ですし、JCBや日本信販等も、基本的に会員のクレームを信用する方向で対応を行います。
まあでも、潰れかけたカード会社が無茶する可能性もありますし、絶対安全とは言えませんな。
Re: (スコア:0)
そうですね。
私は、同じく日本の組織である、日銀も信用できません。
日本円なんて、いつ価値が暴落するかわかったもんじゃありません。
よくあんな不安定なもので価値を貯めておこうと思いますね。
通貨は価値を通用させるためのものです。貯金するためのものではありません。
安全なのは金ですよ、金。
さあ、みなさん金を買いましょう!
#というような宣伝が増えていますが、今金を買ってもたぶん損しますよ。
#一部の極端な例をとりだして、それだけで全体を語っちゃうような詐欺師理論はもうおなかいっぱい。
Re: (スコア:0)
クレジットカードはカードホルダに落ち度がなければ不正な決済は補償されるのでむしろ安全という考え方もある
現金はその場限りなので安全なのは良いとして、電子マネーはどうなんだろう
Re: (スコア:0)
現金は安全だけどネットの買い物では使えないやん(代引き以外)
対応がちょっと… (スコア:0)
未だに状況を説明するメールすら寄こさないわ、その割には事故後に宣伝のメールは寄こすわ…
完全に開き直ってるようにしか見えないです。
サイトもほぼ平常運転ですし。
通常だと再発行手数料がかかるので、カード会社に事故の連絡が行ってるのかぐらいは知りたいのですが。
Re:対応がちょっと… (スコア:2, 興味深い)
ベクターでソフトを公開しているのですがメールで連絡来ました。ソフト作者向けだけにメールを送っているみたいです。まさか今回ソフトライブラリは影響を受けていないから?
こんなときのためにワンタイムデビット (スコア:0)
Visaの決済ができる所なら使える場合が多い
10日間有効なIDをもらえるサービス
http://www.japannetbank.co.jp/service/payment/cardless/index.html [japannetbank.co.jp]
使ってみようと検討中。
Re: (スコア:0)
2010/12/30にvectorでDiskeeperを買ってた。調査したら、JNBのワンタイムデビットで払ってた。
セーフw
結局何が漏れたの? (スコア:0)
クレジットカード情報が漏れたのは分かったけど、他に何の情報が漏れたんだろ?
明示してくれないと、カード以外に手を打つ必要があるのかわからないよぅ。