JINSのオンラインショップ、Strutsの脆弱性を付かれた不正アクセスで個人情報漏洩の可能性 41
ストーリー by hylom
またStrutsか 部門より
またStrutsか 部門より
メガネの販売などを手がけるJINSのオンラインショップが不正アクセスを受けたことを発表している(JINSの発表)。不正アクセスが発覚したのは3月22日で、23日には修正を行ったとのこと。これによって顧客の氏名や住所、電話番号、生年月日、性別と言った個人情報が漏洩した可能性があるという。クレジットカード情報についてはサーバー上には保管していなかったために漏洩は確認されていないとのこと。
サイトが改ざんされ、データベース内のデータを列挙するようなページが設置されていたとの報告もある。
同社は2013年にもStruts 2の脆弱性を狙った攻撃によって顧客情報を漏洩させていた。
恒心教 (スコア:2)
恒心教なんですかね。
Re: (スコア:0)
とりあえずここに置いておきますね
https://archive.fo/https://www.jins.com/jp/jsp/Karasawa.jsp [archive.fo]
ブームに乗って買わなくてよかった (スコア:1)
JINSと言えばブルーライトカットメガネ
あれは結局、効果あるのかな。
Re:ブームに乗って買わなくてよかった (スコア:2)
ブームに乗り遅れつつ買いましたが、特に効果がある実感はありません。
元々ディスプレイの設定でかなり輝度を下げてるせいかも知れませんが……。
ブルーライトが近視の進行を抑える、なんて研究もありましたね。
Re:ブームに乗って買わなくてよかった (スコア:2)
ブルーライトが悪いのなら青空みるのもダメになるよなあ…
ということでモニタみて目に刺激が来る場合は「明るさを下げる」で対処できるんですよね。
色温度下げるとブルーライトカットな感じになりますが、一番効くのは明るさですから…
液晶が黄ばんでるとか騒ぐ人もいれば、ブルーライトカットといって色温度を暖色に寄せる人も
いて、もう何がなんだかです _(:3 」∠)_
Re: (スコア:0)
逆だ逆。太陽から来る光のうち、青色に近い波長の部分が、他の波長の部分よりも多く大気に吸収されてるから空が青く見えるの。
波長を均等に吸収するなら空は真っ白になるよ。
だから屋外の(太陽起因の光源による)明るさと、モニタやスマフォ等の発する光では全然、青色光の強度が違う、というのは正しい。
ただブルーライトカットの眼鏡がどれほど効果があるかは知らん、というかブルーライトが身体に与える影響なんて明確な学説はないんじゃないかな。
あと、あれも一種のトップコーティングらしいので2~3年で劣化して意味がなくなる(ブルーライトカットでない眼鏡と同等になる)という話もあるし。
Re:ブームに乗って買わなくてよかった (スコア:1)
ふむ。
青色は大気によって吸収されるんじゃなく、散乱することによって目に入ると。
まっすぐ届く赤色よりも半端なく多く散乱するから結果して青く見えると。
夕焼けが赤いのは、それだけ大気を通る距離が伸びるため。
青色は同じように散乱するが、あまりに大気を通る距離が長いため
途中で吸収されてしまう(波長短いからね!)…ここが吸収されるというやつか!
結果的にまっすぐ届く(波長の長い)赤色が見えるということか。
青雲それは君が見た光~ ってのはあながち間違ってない歌詞なんだね(まちなさい
Re:ブームに乗って買わなくてよかった (スコア:1)
それにしても相当する波長の光の強さは太陽光のほうがよほど上でしょうね。
日光って本当桁違いに明るいので。
ブルーライトが本当に目の疲れの原因なら、外で働いている人のほうが遥かに目が疲れるはず。
Re: (スコア:0)
> あれも一種のトップコーティングらしい
コーティングの製品もあれば,レンズに吸収剤を練りこんでいるのもあります
蛍光灯などに反射して,眼鏡が青っぽく光っているのはコーティングです
一方で練りこみのはあの独特の反射が抑えられていて,かつコーティングのような劣化がないです
私はあの独特の反射があまり好きじゃないので,練りこみの買ってます
Re:ブームに乗って買わなくてよかった (スコア:1)
JINSと言えばブルーライトカットメガネ
あれは結局、効果あるのかな。
横浜の夜景の見え方も変わるんだろうか
Re:ブームに乗って買わなくてよかった (スコア:2)
ヨコハマ ブルーライトカット・ヨコハマ
Re: (スコア:0)
>JINSと言えばブルーライトカットメガネ
>あれは結局、効果あるのかな。
めっさ効果あります。
ほんと肩こりがひどいことあったけど、なくなったもの。
#医者によってはブルーライトカットメガネを処方することもあるようです。
Re: (スコア:0)
省略されてるけど、あれも欧米人のためのもので日本人は輝度をさげるだけで良いそうです。
http://www.asahi.co.jp/be-bop/backnumber/170302.html [asahi.co.jp]
# かくいう私はHeavy Use ユーザー
この手の漏洩、いつまで続けるのだろう (スコア:0)
実店舗で購入したから、漏洩はないと思いたい。
というか、いい加減保存内容を見直せば?
保存する量を最小限にする、支払いシステムは他社大手(Paypal、Stripe)に任せる、WWWサーバにデータを置かない。
この3点を守ってる会社、日本にどれだけいるのか?
Re:この手の漏洩、いつまで続けるのだろう (スコア:1)
購入したレンズの情報は店舗で保存しないというから
保存する量って今もかなり少ないんじゃない?
# 少ないけど致命的なデータだったということかorz
Re: (スコア:0)
今回は
なので支払いシステム云々は問題なさそうだけどな。
それはそれとして、これ以上被害が拡大するならStruts(2)を使ってるシステム、強制的にストップさせたほうがいいんじゃねえの?
今回の脆弱性対策がされてることを確認できたサイトから順次再開ってことで。
国を挙げてサイバーノーガード戦法とかやってても国民は幸せになれないと思うんだが。
この思考停止は死を招く (スコア:3, 興味深い)
今回は
クレジットカード情報についてはサーバー上には保管していなかったために漏洩は確認されていないとのこと。
なので支払いシステム云々は問題なさそうだけどな。
参考文献[1] → 増田の「JINS はマジでやばい [hatelabo.jp]」
参考文献[2] → GMOの「不正アクセスに関するご報告と情報流出のお詫び [gmo-pg.com]」
クレジットカード番号等は、JINSのサーバを通過せずに直接GMOペイメントサービスへと流れているので、JINSから見れば、確かに「クレジットカード情報についてはサーバー上には保管していなかったために漏洩は確認されていない」という見解にはなるだろう。
しかしながら当のGMOPG自体が既にお漏らし宣言しているので、JINSのサーバからクレジットカード番号等が漏れ出したか否かなどということは、もはや些細な問題でしかない。
要するに、JINSのサーバから漏れなかったがGMOPGから既に漏れてた。ということ。
つまり、ふたつ合わせて(以下略
Re: (スコア:0)
GMOがやらかしたのは都税のサーバで、決済サービスやってるサーバじゃないだろ。味噌もクソもいっしょにするなよ。
Re: (スコア:0)
やらかしたのは都税の決裁サービスのサーバーなので、
どっちもウンコですな。
仮に別サーバであっても、同じ分野のサービスでシステム基盤を変えるとは考え難いので、JINSが使っている決裁サービスも安全とは言い難いですね。
Re: (スコア:0)
やらかしたのは都税の決裁サービスのサーバーなので、
どっちもウンコですな。
仕事したことある?
セキュリティ対策なんて企業単位サーバー単位ですよ。
君の考えは犯罪を起こしたのは男だから男はみんな犯罪犯すって言っているようなもの。
Re: (スコア:0)
> 仮に別サーバであっても、同じ分野のサービスでシステム基盤を変えるとは考え難いので、JINSが使っている決裁サービスも安全とは言い難いですね。
グモPGの肩持つわけじゃないけどシステム基盤は完全に別だと思うよ
同じだったらグモPGからさらに大量のカード情報が漏洩してるハズだからな
Re: (スコア:0)
>要するに、JINSのサーバから漏れなかったがGMOPGから既に漏れてた。ということ。
GMOにもクレジットカード情報置いてませんでしたがなにか?
叩くならもっと勉強するかもっと情報を用意しませんか?
Re: (スコア:0)
Re: (スコア:0)
他はともかくとして
>支払いシステムは他社大手(Paypal、Stripe)に任せる
についてはコCVRが下がるから嫌がる所は多いでしょう
一度登録しておけば良いとは言え、そもそもPaypal自体の利用率や知名度が日本では低く一般的な消費者向けではPaypal一本は非現実的
Paypal非利用者にとっては登録画面が増え離脱率が跳ね上がる
一昔前は国内向けのECパッケージで標準対応が皆無だった(最近ではそーでもないですが)
取扱金額が少なくても手数料が安価なのは魅力なんですけど・・・
Re: (スコア:0)
>保存する量を最小限にする、
どの辺が最小限じゃなかったんでしょうか?
>支払いシステムは他社大手(Paypal、Stripe)に任せる、
ソース読みました??支払情報が流出したという情報ありますか?
>WWWサーバにデータを置かない。
ウェブサーバーにデータ置いてあったという情報ありました?
ってかいまどき「WWWサーバにデータ」ってないでしょう?
叩くならもっと勉強をしてきましょう。
Re: (スコア:0)
ガチな中小だったら、Eストアー [estore.co.jp]のようなシステムを利用しているんじゃない。
>WWWサーバにデータを置かない。
それCGI世代ですがな。もはやosCommerceとかは、絶滅したと信じたい。
素人丸出しですまんが (スコア:0)
strutsの脆弱性情報って年がら年中出ている気がするんだけど、struts無しと比べてそんなに生産性が違うんですか?
Re: (スコア:0)
単にずっと使ってきたから。
今だったら標準のJava EEで固めてもいいし、Strutsよりいいフレームワークが色々ある。
Re:素人丸出しですまんが (スコア:1)
JINSが採用したフレームワークっていうからには、どんなメガネフレームを
作り出すプロダクトデザインの木曾となる何かかとおもったら、思いっきり空目してた
Re:素人丸出しですまんが (スコア:1)
Re:素人丸出しですまんが (スコア:1)
シェア9割超えてるって相当だよねえ _(:3 」∠)_
# 結果として大量生産しない少量多品種な商品であるメガネフレームというのが
良かったんだろうなあ
Re: (スコア:0)
昔作ってそのまんま、なんじゃないの。
Re: (スコア:0)
知っている限りでは、商用フレームワーク内にこっそりStrutsが含まれていて、
そのフレームワークのパッチ適用やバージョンアップには、作ったとき以上の金がかかるパターンがありますし、
そこから逃げようにも、フレームワークに大きく依存していてほとんど作り直しになるので逃げられないってのもあります。
Re: (スコア:0)
流出して、利用者にお金を払ったわけでもないので、損害がないものに
積極的にお金をかけて修正をするかというのがこの手の会社の発想かと。
その結果、不正アクセスして見つかってやばいとこだけ最小限の修正すりゃーいんでしょ。
って考えるので、根本的なところはかわらないのでは・・・
Re: (スコア:0)
安い人員での人海戦術がし易いから選ばれる。
生産性は、、、Java自体が基礎学習には良いと思うが業務で使うには冗長過ぎるな。
JVMならScalaの方が良いと思ってる。
Re: (スコア:0)
Re: (スコア:0)
Struts 並に動的なアレコレを盛り込んだものを作ろうとしたらそうなる。
けど、普通に要件でそんなものは不要なので、もっと穏当なものになる。
Re: (スコア:0)
Re:素人丸出しですまんが (スコア:1)
いやそれにしてもStrutsは何でもできるようにしすぎ。
パラメータの文字列からその名前のメソッドを呼び出す機構(あちこちにある)なんて、
セキュリティ関係者だったら普通怖くて実装できないレベル。
Re: (スコア:0)
俺もかつてその手のアイデアを「良いアイデアあるじゃん」と閃いたことあったけど、徳丸本読んで目が覚めたわ。
シェアトップクラスのフレームワークが目が覚めないまま実装しちゃったんだな。
新番組: IPPA23区監察課 (スコア:0)
新番組: IPPA23区監察課
第1話「もらし顧客情報のJINS」