パスワードを忘れた? アカウント作成
7879801 story
ニュース

JINSのオンラインショップに不正アクセス 44

ストーリー by headless
転送 部門より
パソコン用眼鏡「JINS PC」などを展開するジェイアイエヌは15日、同社のオンラインショップ「JINS ONLINE SHOP」が不正アクセスを受け、最大で12,036件のクレジットカード情報が流出した可能性があると発表した(不正アクセスによるJINSオンラインショップのお客様情報流出の可能性について: PDF@ITの記事朝日新聞デジタルの記事MSN産経ニュースの記事)。

Webサイトの異常が発見されたのは3月14日19時58分頃。調査したところ不正アクセスの痕跡が確認されたため、23時6分頃にサイトを停止したとのこと。クレジットカード情報入力用のフォームが改ざんされており、入力内容が外部に送信される状態になっていたそうだ。流出した可能性があるのは、カード番号、カード名義人名、セキュリティーコード、カード有効期限。同社は2月6日にサーバーの移転を行ったとのことで、その際に異常は確認されていないことから、2月6日から3月14日までにクレジットカード決済をした購入者が対象となる。同社では金銭的な被害が発生しないように各クレジットカード会社と連携して対応するとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 3月の頭に (スコア:3, 参考になる)

    by Anonymous Coward on 2013年03月16日 13時21分 (#2344642)
    http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-001237.html
    mt-upgradeがらみの脆弱性を狙った攻撃があり

    突かれたところではさらに
    http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-001713.html
    を狙ったようなblutoothのモジュールが読み込まれているログがあったりしました

    こういうのをJVNのTOPのほうで出して欲しいんだけどなあ…

    いれっぱで放置されてるようなところを引き継いだ場合
    mt-upgradeはある可能性が結構高いので
    即削除しましょう(´・ω・`)
  • ROCKET NEWS 24 [rocketnews24.com]
    ......うん、デスステマブログの中の人も大変だね。

  • by Anonymous Coward on 2013年03月16日 12時18分 (#2344621)

    前日の夜には判明していたのに,金曜の夕方に市場が閉じてから発表したという噂が言われていますが,実際のところどうなんでしょうかね?
    3/14深夜から3/15夕方までは
    「日頃はJINS WEBサイトをご利用いただき、誠にありがとうございます。 システムメンテナンスのため、 現在当サイトのサービスがご利用頂けません。 お客様にはご不便をおかけいたしますが、 何卒ご理解いただきますようお願い申し上げます。」
    って表示されていたようなので,これはそういう意図があったと解釈してもいいんでしょうか...

    • 株価の下落を招くであろう事象を、閉じたあとに発表するのは常識。
      正しいかは知らないけど、ザラにあることを突っ込んで何が言いたいの?

      たまにあるけどね、堂々と真っ昼間に発表する会社。

      親コメント
      • by Anonymous Coward

        ザラなのか引けてからなのかはっきりし給え

      • by Anonymous Coward

        ザラにあっても無くても、不審に思う事には突っ込みを入れるべきと思うが。

    • あんなゲスサイトのいうことを真に受けるとは

      • そうそう、日本国民としては大手マスコミ様発表しか信じられないよね。
        #As good twenty as nineteen.

        親コメント
      • by Anonymous Coward

        3月 14 日 23 時6分時点で、速やかに本サイトの停止及びアクセス遮断を行うとともに、
        提携クレジットカード会社への通知を行っております。

        と14日深夜には改ざんがわかっていてサイトを閉じていて、カード会社にも通知をしているので、発表文章作成に時間がかかっていたと言われても仕方ないのでは??

        お漏らしがあったと言っているのは@IT高橋さんの記事とInternet Watch増田さんの記事か………電話して聞いたかな?

      • by Anonymous Coward

        つまり発表を遅らせたいことがあったらとりあえず2chに投稿しておけば誰も信じなくなってメデタシメデタシということですね。

      • by Anonymous Coward

        > あんなゲスサイトのいうことを真に受けるとは

        国会で「従軍慰安婦は朝日新聞のねつ造だった」という話しが
        されたと聞いたけど、2chでしか取り上げてないから
        あれはやっぱ2chのねつ造なんですよね。

    • by Anonymous Coward

      前日の夜には判明していた
      金曜の夕方に市場が閉じてから発表した

      どちらも事実でしょ。

    • by Anonymous Coward

      そんな色眼鏡で見ちゃよくないよ

      • by Anonymous Coward

        いんちきプロテクション

  • by Anonymous Coward on 2013年03月16日 11時53分 (#2344615)

    >Webサイトの異常が発見された
    とのことですが、1ヶ月以上見逃されていたのに、どうやって気づくのだろう?

    • by Anonymous Coward on 2013年03月16日 12時59分 (#2344637)

      クレジットカード会社の方が気がついたんでは?

      2/中旬締めのクレカ領収書が 3月頭に届き、
      そこからクレカ会社に不正利用の問い合わせが増え始め、
      クレカ会社が調べたらここを使ってた人が多かったので、疑いありと通知。
      JINが、通知されたので調べ始めたら、クラックされてたのが発覚。
      …とか。これだとタイミング的にぴったり?

      親コメント
      • by Anonymous Coward on 2013年03月16日 14時10分 (#2344652)

        http://internet.watch.impress.co.jp/docs/news/20130315_591969.html [impress.co.jp]

        >現時点ではカード情報が不正利用された報告はないとしている。

        親コメント
        • by Anonymous Coward

          >(1)被害の状況
          >平成25年3月17日(日)時点において、今回の情報流出に関係すると思われる
          >クレジットカードの不正利用が7件確認されております。

          早速実被害が…。

      • by Anonymous Coward

        3/14ということは・・・・ホワイトデー。

        身に覚えのない「宅配便でもらったバレンタインデー本命のお返し」を大量に受け取った女性(PCオタクな眼鏡っ娘)が
        「私、こんな節操知らずにチョコ配ってない!」とプンスカしながらカード履歴をたどってみたら
        なぜか大量のギフトの注文が2月の上旬に⇒その日のうちに判明、とか。

        #ええ、楽○からうざいメールが定期的に繰り返し届いたんで覚えてますよ。
        #贈り返す相手なんていねーぞ馬鹿ぁ。

    • by Anonymous Coward

      なんで一ヶ月以上見逃されていたなんて分かるの?
      いつ改ざんしたかなんて犯人でもなければ知り得ない情報だと思うんだが。

      • by Anonymous Coward

        http://www.jins-jp.com/info.pdf [jins-jp.com]より

        (2)流出の可能性がある個人情報
        対象 ・・・ 以下の期間に商品をクレジットカード決済でご購入いただいたお客様
        12,036 件のクレジットカード情報が流出した可能性がございます。
        対象期間・・・平成 25 年2月6日~平成 25 年3月 14 日
        対象項目・・・クレジットカード情報(①カード番号、②カード名義人名、③セキュリティコード、④カード有効期限)

        • by Anonymous Coward

          ・2月6日には異常がなかった。
          ・3月14日に改ざんが発見された。
          そのため改ざんが行われたのは2月6日から3月14日の間になるが、その間のいつかは分からない。

          1ヶ月以上見つからなかったのであれば、2月6日から2月14日の間に改ざんされたということになるが、
          それをどうやって絞り込んだのかね。

          • by Anonymous Coward

            見逃したの意味はどうでも良くて(おそらく書き間違いでしょう)、

            ・2月6日には異常がなかった。
            ・3月14日に改ざんが発見された。

            この間サーバを見てなかったというのは確実なので、見なかった理由はなんだったのか、
            3/14になって見たきっかけは何だったのかって事でしょう。

            普段サーバ見ないようなやつが、どうやって見つけたんだと。
            まぁたまたま他の作業の時に見つけたってとこじゃ無いですかね。
            サーバ移転の時に、該当ファイルに差し替え、上書きとかあったとしたら、もっと前からあったかもしれないのにね。

            移転時に一度正常なファイルになった、という事が、唯一の事実なわけだよね。

      • by Anonymous Coward

        なんでわかるのか?
        いや、わからないから、最大で出しているだけでしょ

        フォームのHTMLを改ざんしただけで
        他に余計なことをしなかったから発見が遅れたんでしょうね。

        もちろん、他の改ざんもあった可能性もあるけど・・調べて他には無かったのでしょう、きっと。

        • by Anonymous Coward

          JINにも分からんのに、このACが少なくとも1ヶ月は改ざんが放置されていたとしている根拠は何?って話でしょ。
          単に改ざんされたのが2月6日と勘違いしただけだろうけど。

          • by Anonymous Coward

            JINSもおそらくLACのような会社にフォレンジックを依頼しているのでしょう(どこを使ったかはJINSが発表しない限りわからんけど)。

            この推測 [srad.jp]があっているとしたら、古いシステムで2/6に立ち上げ直してそのままだったのでしょうね。

            今のお詫びサイトはiijにあるみたいなんだけど、元のショッピングサイトはどこのサーバー使っていたのかも気になる。

  • by Anonymous Coward on 2013年03月16日 12時09分 (#2344617)

    > カード番号、カード名義人名、セキュリティーコード、カード有効期限

    これだけあればマジやり放題www

    • by Anonymous Coward

      本来決済代行会社に送られるべき情報を横取りしてたって話みたいだからねえ。

    • by Anonymous Coward

      なんでセキュリティーコード保管してるんだ・・・?

      • by Anonymous Coward on 2013年03月16日 12時21分 (#2344622)

        入力フォームが改竄されてデータが外部に送信されたという話であり、保管していたデータが抜かれたという話ではないので、元々のサイトがセキュリティコードを保管してたかどうかはわからない。

        親コメント
        • by Anonymous Coward on 2013年03月17日 0時29分 (#2344912)

          ほんまに「SSLだから安全です」っていうのはやめてほしいな。
          「SSLだから通信だけは安全です!(改ざんや情報漏洩には弱いです。ごめん)」とかにしてほしい。

          親コメント
        • by Anonymous Coward

          なるほど、そういうことか。
          てっきり既に入力済みの、ストアされたデータが外部に送信される状態になっていたのかと思った。

      • by Anonymous Coward

        こうやって漏れるならセキュリティコードって意味あるの?

        • by Anonymous Coward on 2013年03月17日 12時56分 (#2345064)

          セキュリティコードはカードが盗難に遭った際に無力なので、カード発行会社はネットショッピング向けに本人認証サービスを別途提供しています。
          J/Seccure [jcb.co.jp] (JCB)
          VISA認証サービス [visa.co.jp] (VISA)
          MasterCard SecureCode [mastercard.com] (MasterCard)

          親コメント
          • by Anonymous Coward

            問題はこの手のサービスを利用してないショッピングサイトが多すぎること。
            ほとんど意味がない。

    • by Anonymous Coward

      責任払いでお願いします。

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...