セブンネットショッピングに不正アクセス、カード情報15万件以上が流出した可能性 40
ストーリー by hylom
大手だからといって安心できない時代に 部門より
大手だからといって安心できない時代に 部門より
usagito 曰く、
読売新聞ほか各社報道によると、セブン&アイ・ホールディングス傘下のネット通販会社「セブンネットショッピング」のサイトに不正アクセスがあり、クレジットカード情報を含む15万件以上の個人情報が流出した可能性があるという(セブンネットショッピングのニュースリリース)。
流出した可能性のある情報は、セブンネットショッピングの「いつもの注文」に登録された氏名・住所・電話番号・カード情報のうち最大150,165件。カード番号と有効期限が含まれ、セキュリティコードは含まれない。
うちにも15時9分付でお知らせのメールが来た。「いつもの注文」は存在も知らなかったので、とりあえずは対象ではないと思うが……。
対象だった (スコア:3)
実は5月頭に、ここに登録されていたクレジットカード番号で2カ所不正利用されているのです。他には大手のネット書店か近所のスーパーでしか使っていなかったので、まったく心当たりが無く、もしかしたら、これのせいではないかと…。
私の時は、カード番号を使われた店舗が、おかしいところがあるとカード会社に連絡してくれたので早期に発覚してくれたのですが、もしそれが無かったら大変面倒なことになっていたかもしれません。
それにしても、対象者へのお願いで「カードの再発行のご希望、またはカード会社からの請求内容に関するお問い合わせは、大変恐縮ではございますが、弊社ご利用時のクレジットカード会社へ、ご本人様よりご連絡いただきますようお願い申し上げます。」って、ちょっと責任感がないんじゃないかね。
対象じゃなかった (スコア:2)
と出てた。
今のところ漏洩対象になったことがないのは単なる偶然だろうなぁ。
Re:対象じゃなかった (スコア:2)
同じく対象外でした。
いつも、google IDで認証していたからか、やっぱり偶然なのか
Re: (スコア:0)
esbooksの会員だったがいつのまにかセブンネットショッピングになってた。
ちなみに「不正アクセスにより閲覧された可能性はありません。」になってる。
流用などしていないのだが… (スコア:1)
パスワードマネージャを使っていて、パスワードどころかログインIDもユニークなものにしてる。
パスワードはパスワードマネージャ利用が大前提で、推測もできないような完全にランダムな文字列だ。
にもかかわらず、漏れた可能性のあるらしい。なんだこれは。
1.他でクラックされたIDとパスワードを使った攻撃ではなく、内部からIDとパスワードが漏れている
2.何らかの理由で被害の可能性のあるID絞込み・特定ができてない。僅かでも可能性のあるID全てに通知を出している
3.俺のパスワードマネージャのファイルとパスワードとキーファイルが丸ごと漏れてクラックされている
ただ3つめだとすれば他にもっとヤバいID(ネットバンキングなども含む)が記録されているしこんなのんきにはしてられないはず。
実際に犯行が行われたのが半年以上前だから、それ以前に漏れていた計算になるが、確認したけど不自然な履歴は無いし…。
とりあえず問い合わせてみるか…。
問い合わせ時間23時ぐらいまでにしてくれないかな…。
Re: (スコア:0)
(1)本サイト上の「いつもの注文」画面の脆弱性の修正
本件不正アクセス発生時、本サイト「いつもの注文」の一部のプログラムに不具合があり、不正アクセス者に、当該不具合のある画面からクレジットカード情報が閲覧された可能性があります。当該不具合は、本件調査の過程で発見された7月26日時点で即日改修を完了いたしました。
とあるので、ややこしいですが、不正アクセスされた可能性がある人ではなく、不正アクセスされていたら個人情報を閲覧された可能性がある人を対象にしてしまってるのではないでしょうか?
Re: (スコア:0)
プレスリリースから行ける確認画面に行くと
「不正アクセスにより、お客様のクレジットカード情報を含む個人情報を閲覧された可能性がございます。」
って思いっきり出るんですよね…。
ちなみに、確認画面に入る [7netshopping.jp]と、未ログインの場合はログイン画面になる。そこで、ログインするときちんと判別した結果が出る。ログイン画面になったら問題ないと言うわけではないようなので注意。
Re: (スコア:0)
「いつもの注文」機能の実装に脆弱性があり、例えばパラメーターを変更するだけで他人が登録した「いつもの注文」の内容を見放題だったとかそんなんじゃね?
IDとかパスとかは関係ねーっていう、ソレ以前の問題な気がする。
Re: (スコア:0)
ニュースリリースを見る限りは、本来ログインしただけでは閲覧することができないそのIDのクレジットカード情報が閲覧できてしまう不具合があったという意味のようにも思える。
過去に使ったことはあるが (スコア:0)
セブンイレブン払いだったのでカードは心配なし。
でも住所や電話番号が漏れたのは嫌だな。
# Yahooで既に漏れてたような気もするがw
Re: (スコア:0)
さらっと流されてるけど、ここでの「不正アクセス」というのは他から漏れたID・パスワードを利用した第三者によるアクセスのこと。
つまり、今回の不正アクセス被害の該当者は同じID・パスワードを複数の場所で流用している人たちであると考えられ、セブンネットショッピング以外からも情報が漏れている可能性がある。
Re: (スコア:0)
ログインすると、「なりすましによる不正アクセスのお知らせ」に
調査の結果、第三者が外部インターネットサービス等から不正に取得したID、パスワードを使用してお客様になりすまし、
と書いてあって、「※対象のIDかどうかの確認はこちら」のリンク先に行くと、
状況確認の結果: 不正アクセスにより、お客様のクレジットカード情報を含む個人情報を閲覧された可能性がございます。
なんて出るわけですが、私の7netshoppingでのパスワードは、ここでしか使っていません。
なんかおかしいですよ。
Re: (スコア:0)
私もセブンネットの利用者ですが
「※対象のIDかどうかの確認はこちら」
のリンクを踏むと、普通のログイン画面になるので意味不明だったんですが、漏洩した可能性のあるIDの場合、そのようなワーニングが出るんですね。
やっと確認画面の意図がわかりました。
ちょっと説明文が不親切ですね。
Re: (スコア:0)
<対象>
セブンネットショッピングの会員サービス「いつもの注文」にクレジットカード情報を登録されているお客様の一部。
と書かれているので、あなたがそれに該当しただけじゃないですか?
要するに、「※対象のIDかどうかの確認はこちら」のリンク先で表示されるのは、仮に不正アクセスされていたら個人情報が丸見えで表示されてしまう不具合が発生していたIDか否かという情報なのでは?
Re: (スコア:0)
本当に正規のIDとパス突っ込んでログインされたとしたら
不正アクセス側がIP固定で突っ込んで来たとかで無い限り、閲覧されたかどうかの特定は難しいものねえ。
Re: (スコア:0)
それはそうなんですが、何が起きたかの状況説明が足りないので、何すればいいのかがわからない。
そりゃとりあえずパスワードは変えましたけどね。
ともかく、ログイン履歴を閲覧できるようにすべき。
あるいは、他人のIDで自分のカード情報が見られる状態になっていたのなら、そのことを公表すべき。
Re: (スコア:0)
あるいは、他人のIDで自分のカード情報が見られる状態になっていたのなら、そのことを公表すべき。
ずいぶん話が飛躍しているような気がするんだけど、他人のIDでカード情報が見られる状態になっていることを疑うような情報でも出てるの?
Re: (スコア:0)
私もそうなんですが,パスワードの使い回しをしていない人にとっては不思議に感じる点もあるのではないかと。結局のところ,「自分は」カード再発行まですべきかどうかで判断がし辛いんですよね。
1. パスワードの使い回しをしていないのに「なりすまし」が原因とされている
2. 「なりすまし」の割りには,漏洩した情報が「いつもの注文」に限られている
3. 脆弱性の存在が挙げられている
> とあるIDでアクセスできれば,他の人の情報にもアクセスできる,とか?
”同社はプレスリリースの中で、クレジットカード情報が閲覧された要因の1つとして、「いつもの注文」画面に存
Re: (スコア:0)
利用した事があるならわかりやすいんだけど、「いつもの注文」ってのが他のECサイトと違ってクセのある機能なんだわ。
決済方法を幾つか登録出来るようになってて、そのうちの一つがクレカ支払い。
んで今回はその「いつもの注文」に脆弱性がありそれを突かれたとプレスリリースから読める。
加えて「なりすまし」だともいっている。
そこから考えうるに、IDでログインして決済画面まで進み、「いつもの注文」の画面で脆弱性を突くと、他人のIDで登録されている「いつもの注文」の内容が閲覧できてしまったんではないかと。
Re: (スコア:0)
そうだとすると,「なりすまし」を前面に出したニュースリリースは納得しがたいですね。一見したとき,背部ネットショッピングに非はないのかと思ってしまいました。
Re: (スコア:0)
×背部ネットショッピング
○セブンネットショッピング
Re: (スコア:0)
あれ?と思ったが自分もそうだ。
ネットで買って受取も支払いもセブンイレブン店舗なので、クレカを登録してない。
だからいいというわけでもないが。
「セキュリティコードは含まれない」 (スコア:0)
氏名、住所、電話番号、カード番号、有効期限が流出って
完全に致命傷なのに、ギリセーフっぽく錯覚させようとする努力がすごいな。
Re: (スコア:0)
ガイドラインでセキュリティーコードは保存してはいけないと定められているので含まれないのは当然だよね。
ガイドライン守らずにセキュリティコードを保存したうえ、漏洩したところもあったけどさ
Re: (スコア:0)
そもそもマスクも暗号化もしないで番号保存してること自体が
限りなくアウトに近いけどね。
Re: (スコア:0)
しょっぼいECサイトの分際でカード番号を保存すること自体キチガイ沙汰だよね。
やるならせめて識別用の下4桁だけとか、本当に必要な情報だけにしないと。
Re: (スコア:0)
下4桁だけで、どうやって決済すんの?
Re: (スコア:0)
保存自体はしなきゃいかんよね
通常の手順で閲覧できるのが間違いだが、混同してるな
Re: (スコア:0)
決済するときは消費者がカード番号入力するんだから、それを保存せずに決済代行会社のシステムに投げるだけじゃん
消費者に何度もカード番号を入力させたくないなら、決済代行会社にカード番号を預けてそれを再利用するような仕組みを使えばいい
自前でカード決済のサブシステム作る(真面目にやると億円ぐらい行く)にしても、フロントのアプリケーションサーバにカード番号を保存する必要もないし、
カード番号を参照できる必要もないでしょ
Re: (スコア:0)
JINSの時も書きましたが
通常は都度入力であれば保存などせず、そのままリクエストに載せるだけです。
注文履歴などで出したいだけならトランザクションデータにマスクした値を保存すればいいのです。
入力を省いた再取引であっても通常は決済代行外出の持つデータベースと突合するための識別子を保存するだけです。
これだけ流出が取り沙汰される現在においてフロントエンドでカード番号などの重要情報を保存するのは
極めて異例です。
…異例なのですが現実には本件のようにマスクも暗号かもなく保存しているサイトは少なからず存在します。
名前は出せませんがそれなりに流行っている大手ECですらやっているとこもあります。
その事実を知っているので私はネット決済ではよほど信用のおける(実装を知っている)システムでない限りカード決済は使用しません。
Re: (スコア:0)
異例なサイトの名前は出しにくいだろうけど、信用のおけるシステムを利用してるサイトの名前は出してもらえるとうれしいな-
Re: (スコア:0)
Amazonだな
Re: (スコア:0)
そういう例が決して少なくないから、「セキュリティコードは含まれない」
なんてことをわざわざ書かないとならない状況に陥っているわけで。
だからセキュリティコードが含まれないのは、現実問題として「当然」ではない。
JINSの例のように、サーバに保存していなくてもセキュリティコードが
漏洩するケースもあるし。
Re: (スコア:0)
カードに書いてある情報だけで買い物ができるノーガード戦法やめて3Dセキュア必須にして欲しいんだが。
利便性が落ちるからって採用されないらしい。
釈然としないけど (スコア:0)
8月の2chクレカ流出で不正利用があるかチェックして再発行してもらったからセーフ
氏名・住所・電話番号は既にネットの海に流されてるから気にしてはいけない・・・
ID連携なんだけど (スコア:0)
YahooのID連携をして使っていても該当すると言われる
IDないのに漏れようがない。Yahooのが漏れてれば他のサービスにも波及する。
TwitterではID連携は関係ないとサポートで確認した人がいるみたいだけど
無茶苦茶ですな
なぜクレカ情報を保存するのか (スコア:0)
今ならクレカ決済のWEBサービスの選択肢も複数あるのに。
WEBサービスの料金って独自にデータ管理するリスクやコストを考慮しても高いのかな。
独自に管理するメリットって何がありますかね?
Re: (スコア:0)
海外ではPaypalが普及してるからいいんだけど、日本は小さい個店までクレカ要求してくるからたちが悪い。
クレカ会社が、番号に加え、独自のウェブサービスでID&PASSも要求するものがあるけど、これでも事前にEC側にクレカ番号入力させてるから本末転倒。
普通にPaypalやAmazonの決済サービスを使ってくれたらいいんだけどなぁ。
iPhoneのイヤホンジャックにつけてクレカ決済出来るサービスもPaypalやSquareなどが始めてるけど、ほんとに日本は導入おそいなぁっと。
逆にEdyなどの電子マネーが海外より断然速く普及した理由はなんだろう。交通が採用したのは大きいだろうし、コンビニなど全国チェーンが採用したのもある。
あれかね、大きいところが採用するまで(他の誰かが始めるまで)自分はやらない、という性格か。
Re:なぜクレカ情報を保存するのか (スコア:1)
Paypalが普及しないのは単純には銀行の送金網が優秀だからでは
手数料が安く、送金の遅延がほとんど無く、ネットバンキングも普及している。
Re: (スコア:0)
そういやアメリカでは電信振り込みすら当たり前ではない [nikkeibp.co.jp]んだっけ。