パスワードを忘れた? アカウント作成
2227655 story
情報漏洩

Vector、不正アクセスにより最大26万1161人の個人情報が流出した可能性 63

ストーリー by headless
侵入 部門より
coara 曰く、

ベクターは、3月19日から21日にかけて一部のサーバーが不正アクセスを受け、個人情報が流出した可能性があることを発表した(お知らせプレスリリース)。

不正アクセスを受けたサーバーに保存されていた個人情報は最大26万1,161件。2008年2月以降にソフトウェアを購入したユーザーおよびPC向けオンラインゲームで課金サービスを利用したユーザーの一部が該当する。一部にはクレジットカード情報も含まれており、最悪の場合は全情報が流出した可能性もあるとのこと。ベクターでは3月22日までに侵入経路を遮断し、不正アクセスを受けたサーバーから個人情報を削除するとともに、個人情報が保存されないようにシステム改修を行った。また、3月23日からは一時的にクレジットカード決済を停止している。

タレコミ子もこの期間にBecky!を購入していたため、追加情報次第でカード番号の変更を行う予定である。

ちなみに、Vectorソフトライブラリ関連サーバーへの不正アクセスの形跡はないが、3月21日に作者あてのメールを送信するサーバーでハードウェア障害が発生しているとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 物は言いよう (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2012年03月25日 20時02分 (#2123294)

    一時的にクレジットカード決済を停止

    クレカのデータ流出は割賦販売法でダメよってことになっていますし、カード番号のお漏らしが発覚するとPCIDSSの監査が通らないと加盟店契約取り消しです(例:サウンドハウス、逆例でカード決済復活させたのがバス会社のさくら観光[PCIDSSの監査通している決済会社に投げている])。

  • PayPalに切り替えてたけど、クレジットカード情報消してもらえてたかなぁ...?

    # というかクレジットカード会社はそろそろサービス固有番号発行とか考えてほしいんだけど...
    # ワンタイムデビットとかは、継続利用には不便なんだよね...あとサービス発行が限定的だし

    --
    M-FalconSky (暑いか寒い)
    • by Anonymous Coward on 2012年03月25日 11時51分 (#2123084)

      既に退会していたんだけど、ちゃんとデータ削除してくれてるんだろうか。
      どうせ削除フラグ立てただけの論理削除なんだろうなぁ。

      ということで、退会時には個人情報を乱雑にかき回し変更してから退会するのがお勧め。

      親コメント
      • by Anonymous Coward on 2012年03月25日 12時19分 (#2123099)

        > 既に退会していたんだけど、ちゃんとデータ削除してくれてるんだろうか。
        > どうせ削除フラグ立てただけの論理削除なんだろうなぁ。

        某健康食品通販会社で働いていたときは、削除フラグ方式でしたね。とはいっても、実際にそんなフラグはなくて情報の一部を特定の値にするだけでしたが。
        尤も、チェックデジットの概念がない残念なプログラムを使っていたり、アクセス権の考えが無い運用を続けるようなレベルの会社なので、参考にならないと思いますが。
        #ひょっとしたら中小の通販会社は多くがそんなかもしれない。

        > 退会時には個人情報を乱雑にかき回し変更してから退会するのがお勧め。

        変更履歴とっていたりしてw

        親コメント
        • by Anonymous Coward on 2012年03月25日 14時07分 (#2123153)

          そのへん、ちゃんとプライバシーポリシーで明言すべきなんだけどねぇ<消費者庁仕事しろ

          http://www.vector.co.jp/privacy/ [vector.co.jp]
          >クレジットカード情報を含む個人情報について:最長11年間保存します

          あはは。。

          親コメント
          • by shibuya (17159) on 2012年03月25日 14時20分 (#2123156) 日記

            消費者庁サイドが自ら要件と判断している仕事が他者があてにしている消費者庁の仕事の要件とMECE(mutulally exclusive, collectively exhaustive)な関係になっている罠。

            親コメント
            • by Anonymous Coward

              消費者庁にとっての一番の仕事はマンナンライフがつぶれるまでマスゴミとタッグになって叩き続けることでしたっけ? 今ちょうど野田聖子の旦那が首相だし。
              # 今朝こんにゃくゼリーを食べたのでAC

              • by Anonymous Coward

                > 今ちょうど野田聖子の旦那が首相だし。
                えっ?

              • by uippi (9904) on 2012年03月25日 21時36分 (#2123342) 日記
                野田って苗字だから夫婦かと思った野田。
                これでいいのだ。

                実際の野田首相の奥さんは野田仁実さんって言うらしい。

                #オウムの青山と同じ”青山”だからって紳士服売ってる会社を叩くレベルw
                親コメント
        • by Anonymous Coward

          > > 退会時には個人情報を乱雑にかき回し変更してから退会するのがお勧め。
          > 変更履歴とっていたりしてw

          不正アクセスとか詐欺などの捜査目的から、今時はほぼ全てのシステムで履歴を残しますね。
          何せ昔に比べればディスクなどタダ同然ですし、ログなどの形で本来のデータベースとは
          別枠のストレージに入れればいいわけですし。

          なので、今では個人情報を変更して退会したところでほとんど意味はないです。

  • いつもこういう話を聞く度に思うのは、クレジットカードなどの情報そのものをインターネットから直接アクセスできないようなところに分離できないか、ということ。

    インターネットから分離して、カード番号その他をいれて、例えば、RS-232Cで接続する別のデータベースサーバに問い合わせて、結果のyesかnoかだけ、答えをもらうようなシステム。これならば、クレジットカード番号が網羅的に抜かれることはない。パスワードだって、そのようにすれば、shadowすら抜かれることもない。

    • 補足すると、別にRS232Cみたいのが必要というわけではなく、TCP/IPではない接続ならば、さらに安全性が増す、という話。

      一般的には、網羅的にアクセスできないような(できれぱ独自の)プロトコルで分離したデータベースサーバにアクセスするようにすれば、TCP/IPで接続しても、OK。というか、フロントエンドのサーバにDBまで実装されていてそのサーバがクラックされたらDBがアクセスされ放題となってしまうのだけは避けたい。

      親コメント
    • by Anonymous Coward

      そもそも今は、クレジットカード情報を個別サービス側で保存するのがナンセンスになってきてないかな。

      そのへんはPaypalとかの決済代行使うか、3D-Secure経由で各クレジットカードに直に投げるとかしたほうが
      やらかしたときのリスク考えると安全だと思うんだけど。「2クリックで即購入させてウハウハ!」とかいう考えで
      延々とカード情報を個人情報と紐付けて抱え込んじゃってるのかなー。特に古いサービスなんかは。

      • それが、サーバ側としては一番簡単な解決法かもれしないですね。
        ユーザとしては毎回クレジットカード情報を入力しないといけないけど。

        親コメント
        • by Anonymous Coward

          毎回入力なんか必要ありませんよ。保存しないで決済代行会社に丸投げするだけです。
          パスワードもそうですが、むしろ毎回入力させることでフィッシングやキーロガーやその辺にメモされるなどのリスクが発生するおそれがあります。「○○を行うより行わないほうが無条件に安全」なんてことはめったにないのに思考停止する人が多いのは困ったものですね。

      • by Anonymous Coward

        > そもそも今は、クレジットカード情報を個別サービス側で保存するのがナンセンスになってきてないかな。
        まさにその通りで、毎回入力が必要ないサービスでも通常はバックエンドで決済代行会社に丸投げしています。「個人情報が流出したけどクレジットカード番号は含まれていない」というのはそういうパターンです。ベクターが頭おかしいとしか言いようがない。
        >> 個人情報を蓄積していたサーバのシステムを改修し、当該サーバに個人情報が蓄積されないよう変更しました。
        1日でこんな変更が簡単にできるんだから、そもそも必要もないのに何らかのミスで蓄積されていたのではないですかね。

    • by Anonymous Coward

      毎回入れるようになるだけだよ。
      それがみんな面倒だと思ってるから、サーバに残しちゃってるわけで。

      • 分離したデータベースサーバにパスワードとともにクレジットカード番号などを格納しておいて、パスワードとセットでないと、番号を参照できないようにすれば、うまくいくような気がします。

        あるいは、クレジットカード番号はフロントエンドのサーバからは設定できても、参照できないようにするか。

        いずれにしても、網羅的に20万人分とか抜かれなければ、たまたま、一人だけ、パスワードが当てられて抜かれてもそれは、そのユーザのパスワード管理が悪いか、強度が弱いか、運が悪かったで済む。

        こういう大規模な流出を防ぐことは技術的に解決できそうな気がします。

        親コメント
        • いやいやいやw
          別にそんなめんどくさい話じゃなくて、単純に
          「入力されたカード情報は決済代行会社に投げるだけで、ショッピングサイト側には保存しない」
          とすれば解決する話です。というか今時そうせず、自前でカード情報を保存しているのが既に狂気の沙汰なんです。

          そりゃショッピングサイトへのカード情報の入力を全てロギングするようなプログラムを仕込まれたらおしまいですが、
          決済代行会社側のカード情報入力画面を使うような作りにすれば、それも回避できます。
          # だいたいどこの決済代行会社もそういう仕組みを用意しています。

          基本的に、決済代行会社はショッピングサイトへカード情報を全部は公開しませんので(下4桁だけ、など)、
          仮にショッピングサイトが完全に乗っ取られたとしても、フルのカード情報が全部漏洩するなんてことにはなりません。
          # 決済代行会社によっては有料のオプション契約でカード番号をショッピングサイトの運用者が確認できるようにする、なんてのもありますが。

          よく言われる「2度目以降のカード決済ではカード情報の入力をスキップさせたい」なんてのも、
          だいたいどこの決済代行会社も「このトークンで○○円の注文を入れる」みたいなAPIを備えていますので、
          ショッピングサイト側にカード情報を保存する必要なんて無いんです。
          5年前ぐらいには既に多くの決済代行会社のシステムにそのような仕組みが出来ていたと記憶してますので、
          2012年にもなって自前でカード番号を保存しているなんてのは、ショッピングサイトのシステム担当者の怠慢以外の何者でもありません。

          親コメント
          • おっしゃるとおり、クレジットカードについてはカード会社に投げるのが安全でしょう。

            しかし、網羅的に抜かれたら問題になる情報はクレジットカードだけではありません。そのような情報も分離したデータベースサーバに置けば安全性は高まる、のではないか、という話です。

            親コメント
            • by Anonymous Coward

              > おっしゃるとおり、クレジットカードについてはカード会社に投げるのが安全でしょう。
              違います。カード会社ではなく、決済代行会社です。業態が全く別です。

              > しかし、網羅的に抜かれたら問題になる情報はクレジットカードだけではありません。
              > そのような情報も分離したデータベースサーバに置けば安全性は高まる、のではないか、という話です。
              はい。それはわかりますが、カード情報をどうのこうの、書かれていましたので。
              どうも文面からはカード情報とそれ以外の個人情報、これらの漏洩リスク対策を同列に考えているように見受けられますが、
              全く別であることを理解していますか?

        • 別に大掛かりなシステムを店舗側に求めなくても、カード会社側で、
          支払先ごとに、別のセキュリティコード(あるいは別のカード番号)を振り出し可能な
          システムにして、支払先店名が合致している場合のみ決済が通るようにしておけば、
          流出起因で別の店舗で不正利用される必要もないし、流出元も特定できるし、
          同じ店舗で買い物する限りは、再入力する必要もないし、具合がいいと思うのですが。

          ちなみに、現行でも、カード会社側の不正利用検出システムは結構、充実しているみたいで、
          不正利用者がいざ、カード番号を入手した場合も、不正利用検出システムに引っ掛かって
          承認NGになって使えない場合は多いそうです。

          親コメント
          • そうですね。クレジットカードに関してはカード会社の対応などにより、だんだんと安全性は高まってきているとは思います。

            しかし、その他の個人情報についてはデータベースをうまく分離しないと、網羅的に抜かれるような事件はなくならないのではないかな。以前、女性向けのサイトで本名、体のスリーサイズや電話番号などが抜かれたことがあったような気がします。クレジットカード情報だけが重要な情報ではありません。

            親コメント
          • by Anonymous Coward

            >別に大掛かりなシステムを店舗側に求めなくても、カード会社側で、
            >支払先ごとに、別のセキュリティコード(あるいは別のカード番号)を振り出し可能な
            >システムにして、支払先店名が合致している場合のみ決済が通るようにしておけば、
            >流出起因で別の店舗で不正利用される必要もないし、流出元も特定できるし、
            >同じ店舗で買い物する限りは、再入力する必要もないし、具合がいいと思うのですが。

            その「支払先との対応リスト」が結局利用されてクラックされるだけです。

            カード決済では、たとえばベクターは結局のところカード会社に請求を回す必要があり、
            ここではどうしても

  • ウイルス対策ソフト、NODをVectorで買ってました。
    それ以外にVectorでクレカを使ったことはありません。
    ウイルスに感染したことも、NODが検出したこともないのに、
    Vectorで買ってたがために個人情報が流出するとは……。

    ウイルス対策をしなければ個人情報が漏れることはなかったとか、
    どんだけ皮肉じみた嫌がらせだ。

  • by Anonymous Coward on 2012年03月25日 11時29分 (#2123072)

    今はナニで儲けてるんだろう。

    ペニーオークションとかFXとか、変な?商売には手を出してなかったような気はするけど。

    ベクター開くとエロ毛チックなせくしー広告が出たりしてちょっと赤面する。

    • Re:利益 (スコア:5, 参考になる)

      by realloc (27431) on 2012年03月25日 11時59分 (#2123090)

      http://ir.vector.co.jp/library/settle/2011_all/ [vector.co.jp]

      ここを見ると、売上の6割はオンラインゲームの運営で稼いでるようですね
      プロレジシェアレジは芳しくなく
      モバゲーグリーでソーシャルゲーにも手を出してみたけど、競争激化でうまく行ってないとの事。

      GAMESPACE24というオンラインゲームのWEBサイトを運営してるようなのでシェアレジプロレジ以外でこちらに登録してる方も注意が必要なようですね。

      親コメント
    • このニュースを読んだ時は「いつの間にかソフトバンクグループになっていた」ことの方がショックでした。
      Packシリーズのムックはアスキーやインプレスで売っていたと思うので今もその辺だと思っていたのに。

      親コメント
  • by Anonymous Coward on 2012年03月25日 11時32分 (#2123074)

    結局、ネットのカード決済って、ほんとやばいんだよね。悪意のない業者であっても。しかも、たった一度の支払いでリスクが一生つきまとう。

    ネットの支払いは、被害が拡大しない現金振り込みかカードにひも付かない電子マネーだけが選択肢だと思ってる。

    とはいえ、クレジットカードしか受け付けてくれないところも多いんだよなあ。

    • by Anonymous Coward

      日本には有名なフレーズがあるじゃないか?

      「いつもニコニコ現金払い」

      先人は素晴らしかった

    • by Anonymous Coward

      一生?
      クレジットカードに有効期限があることをご存じない?

      情報流出や不正請求があった場合は、きちんと申告すれば、消費者側が損害をうけることはまずありませんし。
      不正請求はクレーム処理(支払い拒否)ができますし、すぐに新しい番号のカードを発行してもらえます。
      #会社によっては、届くまで2週間くらいかかりますが。

      • by Anonymous Coward

        クレジットカードが日本で敬遠されがちなのは、「絶対安全だ」と言い張っていざ事故が起きたら「想定外だ」と言って補償を拒否するやり方が日本標準だからですかね。

        • by Anonymous Coward

          市場に出回っている色んな教育漫画などでは「絶対なんてありえない・ナメてたらヤバい」と
          散々警告していた、という事実があるにも関わらず
          (俺が今すぐに挙げられるソースはこれ http://www.amazon.co.jp/dp/4906125220 [amazon.co.jp])

          誰が・誰のために・どんなコンテキストで作り
          そんで結局どんな人間が何人何回閲覧したのやら知れない
          そもそも何が書かれてあるのやら解説がないとよくわかんない資料?が
          どこからともなく
          「発掘」されたとたんに
          「やっぱり!必死になって探してみたらと

          • by Anonymous Coward

            > 市場に出回っている色んな教育漫画などでは
            そんなのは子供向けのおとぎ話で、まに受けてるやつがいたら「学生さん?」とかdisるのが日本標準。

            • by Anonymous Coward

              もちろん本当におとぎ話なのは安全神話のほうだけど

        • by Anonymous Coward

          日本の保険会社が個人向けに売っている商品では、対応がひどいものがあるというのは聞きますが、国内で発行されているクレジットカードのクレーム処理を理不尽な理由で拒否された、というのは聞いたことがないですね。
          #理不尽でない理由ならば、当然拒否されることはあり得ます。契約書を読みましょう。最近は少なくなったと思いますが、以前はネット通販でのトラブルは補償しない、というカードも結構ありました。

          VISA、マスター、アメックス(提携カード含む)は欧米基準ですし、JCBや日本信販等も、基本的に会員のクレームを信用する方向で対応を行います。
          まあでも、潰れかけたカード会社が無茶する可能性もありますし、絶対安全とは言えませんな。

    • by Anonymous Coward

      クレジットカードはカードホルダに落ち度がなければ不正な決済は補償されるのでむしろ安全という考え方もある
      現金はその場限りなので安全なのは良いとして、電子マネーはどうなんだろう

      • by Anonymous Coward

        現金は安全だけどネットの買い物では使えないやん(代引き以外)

  • by Anonymous Coward on 2012年03月25日 12時16分 (#2123095)

    未だに状況を説明するメールすら寄こさないわ、その割には事故後に宣伝のメールは寄こすわ…
    完全に開き直ってるようにしか見えないです。
    サイトもほぼ平常運転ですし。

    通常だと再発行手数料がかかるので、カード会社に事故の連絡が行ってるのかぐらいは知りたいのですが。

    • by Anonymous Coward on 2012年03月25日 12時28分 (#2123103)

      ベクターでソフトを公開しているのですがメールで連絡来ました。ソフト作者向けだけにメールを送っているみたいです。まさか今回ソフトライブラリは影響を受けていないから?

      親コメント
  • by Anonymous Coward on 2012年03月25日 12時30分 (#2123104)

    Visaの決済ができる所なら使える場合が多い

    10日間有効なIDをもらえるサービス

    http://www.japannetbank.co.jp/service/payment/cardless/index.html [japannetbank.co.jp]

    使ってみようと検討中。

    • by Anonymous Coward

      2010/12/30にvectorでDiskeeperを買ってた。調査したら、JNBのワンタイムデビットで払ってた。
      セーフw

  • by Anonymous Coward on 2012年03月25日 17時21分 (#2123219)

    クレジットカード情報が漏れたのは分かったけど、他に何の情報が漏れたんだろ?
    明示してくれないと、カード以外に手を打つ必要があるのかわからないよぅ。

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...