JINSのオンラインショップに不正アクセス 44
ストーリー by headless
転送 部門より
転送 部門より
パソコン用眼鏡「JINS PC」などを展開するジェイアイエヌは15日、同社のオンラインショップ「JINS ONLINE SHOP」が不正アクセスを受け、最大で12,036件のクレジットカード情報が流出した可能性があると発表した(不正アクセスによるJINSオンラインショップのお客様情報流出の可能性について: PDF、
@ITの記事、
朝日新聞デジタルの記事、MSN産経ニュースの記事)。
Webサイトの異常が発見されたのは3月14日19時58分頃。調査したところ不正アクセスの痕跡が確認されたため、23時6分頃にサイトを停止したとのこと。クレジットカード情報入力用のフォームが改ざんされており、入力内容が外部に送信される状態になっていたそうだ。流出した可能性があるのは、カード番号、カード名義人名、セキュリティーコード、カード有効期限。同社は2月6日にサーバーの移転を行ったとのことで、その際に異常は確認されていないことから、2月6日から3月14日までにクレジットカード決済をした購入者が対象となる。同社では金銭的な被害が発生しないように各クレジットカード会社と連携して対応するとのことだ。
Webサイトの異常が発見されたのは3月14日19時58分頃。調査したところ不正アクセスの痕跡が確認されたため、23時6分頃にサイトを停止したとのこと。クレジットカード情報入力用のフォームが改ざんされており、入力内容が外部に送信される状態になっていたそうだ。流出した可能性があるのは、カード番号、カード名義人名、セキュリティーコード、カード有効期限。同社は2月6日にサーバーの移転を行ったとのことで、その際に異常は確認されていないことから、2月6日から3月14日までにクレジットカード決済をした購入者が対象となる。同社では金銭的な被害が発生しないように各クレジットカード会社と連携して対応するとのことだ。
3月の頭に (スコア:3, 参考になる)
mt-upgradeがらみの脆弱性を狙った攻撃があり
突かれたところではさらに
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-001713.html
を狙ったようなblutoothのモジュールが読み込まれているログがあったりしました
こういうのをJVNのTOPのほうで出して欲しいんだけどなあ…
いれっぱで放置されてるようなところを引き継いだ場合
mt-upgradeはある可能性が結構高いので
即削除しましょう(´・ω・`)
Re: (スコア:0)
頭が悪いレスですまんが、それはおたくのサイトの話? JINSの話?
Re:3月の頭に (スコア:1)
Re: (スコア:0)
JINSのサイトを管理請け負ってる人?
リンクが一つ抜けてますよ? (スコア:1)
ROCKET NEWS 24 [rocketnews24.com]
......うん、デスステマブログの中の人も大変だね。
市場が閉じてから発表? (スコア:1)
前日の夜には判明していたのに,金曜の夕方に市場が閉じてから発表したという噂が言われていますが,実際のところどうなんでしょうかね?
3/14深夜から3/15夕方までは
「日頃はJINS WEBサイトをご利用いただき、誠にありがとうございます。 システムメンテナンスのため、 現在当サイトのサービスがご利用頂けません。 お客様にはご不便をおかけいたしますが、 何卒ご理解いただきますようお願い申し上げます。」
って表示されていたようなので,これはそういう意図があったと解釈してもいいんでしょうか...
Re:市場が閉じてから発表? (スコア:1)
株価の下落を招くであろう事象を、閉じたあとに発表するのは常識。
正しいかは知らないけど、ザラにあることを突っ込んで何が言いたいの?
たまにあるけどね、堂々と真っ昼間に発表する会社。
Re: (スコア:0)
ザラなのか引けてからなのかはっきりし給え
Re: (スコア:0)
ザラにあっても無くても、不審に思う事には突っ込みを入れるべきと思うが。
Re: (スコア:0)
「正しいかは知らない」と書いたのが見えませんか?
Re: (スコア:0)
読めないんなら黙ってりゃいいのにわざわざドヤ顔して何が言いたいの?
Re: (スコア:0)
> 知らないんなら黙ってりゃいいのにわざわざドヤ顔し て何が言いたいの?
正しいかを知らないだけで、知らないわけではないでしょ
2ch のうわさを真に受けないで (スコア:0)
あんなゲスサイトのいうことを真に受けるとは
Re:2ch のうわさを真に受けないで (スコア:1)
そうそう、日本国民としては大手マスコミ様発表しか信じられないよね。
#As good twenty as nineteen.
Re: (スコア:0)
と14日深夜には改ざんがわかっていてサイトを閉じていて、カード会社にも通知をしているので、発表文章作成に時間がかかっていたと言われても仕方ないのでは??
お漏らしがあったと言っているのは@IT高橋さんの記事とInternet Watch増田さんの記事か………電話して聞いたかな?
Re: (スコア:0)
つまり発表を遅らせたいことがあったらとりあえず2chに投稿しておけば誰も信じなくなってメデタシメデタシということですね。
Re: (スコア:0)
> あんなゲスサイトのいうことを真に受けるとは
国会で「従軍慰安婦は朝日新聞のねつ造だった」という話しが
されたと聞いたけど、2chでしか取り上げてないから
あれはやっぱ2chのねつ造なんですよね。
Re: (スコア:0)
前日の夜には判明していた
金曜の夕方に市場が閉じてから発表した
どちらも事実でしょ。
Re: (スコア:0)
そんな色眼鏡で見ちゃよくないよ
Re: (スコア:0)
いんちきプロテクション
どうやって発見するものなの? (スコア:0)
>Webサイトの異常が発見された
とのことですが、1ヶ月以上見逃されていたのに、どうやって気づくのだろう?
Re:どうやって発見するものなの? (スコア:2, 興味深い)
クレジットカード会社の方が気がついたんでは?
2/中旬締めのクレカ領収書が 3月頭に届き、
そこからクレカ会社に不正利用の問い合わせが増え始め、
クレカ会社が調べたらここを使ってた人が多かったので、疑いありと通知。
JINが、通知されたので調べ始めたら、クラックされてたのが発覚。
…とか。これだとタイミング的にぴったり?
Re:どうやって発見するものなの? (スコア:1)
http://internet.watch.impress.co.jp/docs/news/20130315_591969.html [impress.co.jp]
>現時点ではカード情報が不正利用された報告はないとしている。
Re: (スコア:0)
>(1)被害の状況
>平成25年3月17日(日)時点において、今回の情報流出に関係すると思われる
>クレジットカードの不正利用が7件確認されております。
早速実被害が…。
Re: (スコア:0)
3/14ということは・・・・ホワイトデー。
身に覚えのない「宅配便でもらったバレンタインデー本命のお返し」を大量に受け取った女性(PCオタクな眼鏡っ娘)が
「私、こんな節操知らずにチョコ配ってない!」とプンスカしながらカード履歴をたどってみたら
なぜか大量のギフトの注文が2月の上旬に⇒その日のうちに判明、とか。
#ええ、楽○からうざいメールが定期的に繰り返し届いたんで覚えてますよ。
#贈り返す相手なんていねーぞ馬鹿ぁ。
Re: (スコア:0)
なんで一ヶ月以上見逃されていたなんて分かるの?
いつ改ざんしたかなんて犯人でもなければ知り得ない情報だと思うんだが。
Re: (スコア:0)
http://www.jins-jp.com/info.pdf [jins-jp.com]より
(2)流出の可能性がある個人情報
対象 ・・・ 以下の期間に商品をクレジットカード決済でご購入いただいたお客様
12,036 件のクレジットカード情報が流出した可能性がございます。
対象期間・・・平成 25 年2月6日~平成 25 年3月 14 日
対象項目・・・クレジットカード情報(①カード番号、②カード名義人名、③セキュリティコード、④カード有効期限)
Re: (スコア:0)
・2月6日には異常がなかった。
・3月14日に改ざんが発見された。
そのため改ざんが行われたのは2月6日から3月14日の間になるが、その間のいつかは分からない。
1ヶ月以上見つからなかったのであれば、2月6日から2月14日の間に改ざんされたということになるが、
それをどうやって絞り込んだのかね。
Re: (スコア:0)
見逃したの意味はどうでも良くて(おそらく書き間違いでしょう)、
・2月6日には異常がなかった。
・3月14日に改ざんが発見された。
この間サーバを見てなかったというのは確実なので、見なかった理由はなんだったのか、
3/14になって見たきっかけは何だったのかって事でしょう。
普段サーバ見ないようなやつが、どうやって見つけたんだと。
まぁたまたま他の作業の時に見つけたってとこじゃ無いですかね。
サーバ移転の時に、該当ファイルに差し替え、上書きとかあったとしたら、もっと前からあったかもしれないのにね。
移転時に一度正常なファイルになった、という事が、唯一の事実なわけだよね。
Re: (スコア:0)
なんでわかるのか?
いや、わからないから、最大で出しているだけでしょ
フォームのHTMLを改ざんしただけで
他に余計なことをしなかったから発見が遅れたんでしょうね。
もちろん、他の改ざんもあった可能性もあるけど・・調べて他には無かったのでしょう、きっと。
Re: (スコア:0)
JINにも分からんのに、このACが少なくとも1ヶ月は改ざんが放置されていたとしている根拠は何?って話でしょ。
単に改ざんされたのが2月6日と勘違いしただけだろうけど。
Re: (スコア:0)
JINSもおそらくLACのような会社にフォレンジックを依頼しているのでしょう(どこを使ったかはJINSが発表しない限りわからんけど)。
この推測 [srad.jp]があっているとしたら、古いシステムで2/6に立ち上げ直してそのままだったのでしょうね。
今のお詫びサイトはiijにあるみたいなんだけど、元のショッピングサイトはどこのサーバー使っていたのかも気になる。
役は4カン+ツモ的 (スコア:0)
> カード番号、カード名義人名、セキュリティーコード、カード有効期限
これだけあればマジやり放題www
Re: (スコア:0)
本来決済代行会社に送られるべき情報を横取りしてたって話みたいだからねえ。
Re: (スコア:0)
なんでセキュリティーコード保管してるんだ・・・?
Re:役は4カン+ツモ的 (スコア:2, 興味深い)
入力フォームが改竄されてデータが外部に送信されたという話であり、保管していたデータが抜かれたという話ではないので、元々のサイトがセキュリティコードを保管してたかどうかはわからない。
Re:役は4カン+ツモ的 (スコア:1)
ほんまに「SSLだから安全です」っていうのはやめてほしいな。
「SSLだから通信だけは安全です!(改ざんや情報漏洩には弱いです。ごめん)」とかにしてほしい。
Re: (スコア:0)
なるほど、そういうことか。
てっきり既に入力済みの、ストアされたデータが外部に送信される状態になっていたのかと思った。
Re: (スコア:0)
こうやって漏れるならセキュリティコードって意味あるの?
Re:役は4カン+ツモ的 (スコア:2, 参考になる)
セキュリティコードはカードが盗難に遭った際に無力なので、カード発行会社はネットショッピング向けに本人認証サービスを別途提供しています。
・ J/Seccure [jcb.co.jp] (JCB)
・VISA認証サービス [visa.co.jp] (VISA)
・MasterCard SecureCode [mastercard.com] (MasterCard)
Re: (スコア:0)
問題はこの手のサービスを利用してないショッピングサイトが多すぎること。
ほとんど意味がない。
Re: (スコア:0)
責任払いでお願いします。