パスワードを忘れた? アカウント作成
13207971 story
情報漏洩

JINSのオンラインショップ、Strutsの脆弱性を付かれた不正アクセスで個人情報漏洩の可能性 41

ストーリー by hylom
またStrutsか 部門より

メガネの販売などを手がけるJINSのオンラインショップが不正アクセスを受けたことを発表している(JINSの発表)。不正アクセスが発覚したのは3月22日で、23日には修正を行ったとのこと。これによって顧客の氏名や住所、電話番号、生年月日、性別と言った個人情報が漏洩した可能性があるという。クレジットカード情報についてはサーバー上には保管していなかったために漏洩は確認されていないとのこと。

サイトが改ざんされ、データベース内のデータを列挙するようなページが設置されていたとの報告もある

同社は2013年にもStruts 2の脆弱性を狙った攻撃によって顧客情報を漏洩させていた

  • by ymasa (31598) on 2017年03月27日 18時27分 (#3183252) 日記

    恒心教なんですかね。

    ここに返信
  • by Anonymous Coward on 2017年03月27日 14時01分 (#3183054)

    JINSと言えばブルーライトカットメガネ
    あれは結局、効果あるのかな。

    ここに返信
    • ブームに乗り遅れつつ買いましたが、特に効果がある実感はありません。
      元々ディスプレイの設定でかなり輝度を下げてるせいかも知れませんが……。

      ブルーライトが近視の進行を抑える、なんて研究もありましたね。

      • ブルーライトが悪いのなら青空みるのもダメになるよなあ…

        ということでモニタみて目に刺激が来る場合は「明るさを下げる」で対処できるんですよね。
        色温度下げるとブルーライトカットな感じになりますが、一番効くのは明るさですから…

        液晶が黄ばんでるとか騒ぐ人もいれば、ブルーライトカットといって色温度を暖色に寄せる人も
        いて、もう何がなんだかです _(:3 」∠)_

        • by Anonymous Coward

          ブルーライトが悪いのなら青空みるのもダメになるよなあ…

          逆だ逆。太陽から来る光のうち、青色に近い波長の部分が、他の波長の部分よりも多く大気に吸収されてるから空が青く見えるの。
          波長を均等に吸収するなら空は真っ白になるよ。

          だから屋外の(太陽起因の光源による)明るさと、モニタやスマフォ等の発する光では全然、青色光の強度が違う、というのは正しい。

          ただブルーライトカットの眼鏡がどれほど効果があるかは知らん、というかブルーライトが身体に与える影響なんて明確な学説はないんじゃないかな。
          あと、あれも一種のトップコーティングらしいので2~3年で劣化して意味がなくなる(ブルーライトカットでない眼鏡と同等になる)という話もあるし。

          • ふむ。

            青色は大気によって吸収されるんじゃなく、散乱することによって目に入ると。
            まっすぐ届く赤色よりも半端なく多く散乱するから結果して青く見えると。

            夕焼けが赤いのは、それだけ大気を通る距離が伸びるため。
            青色は同じように散乱するが、あまりに大気を通る距離が長いため
            途中で吸収されてしまう(波長短いからね!)…ここが吸収されるというやつか!
            結果的にまっすぐ届く(波長の長い)赤色が見えるということか。

            青雲それは君が見た光~ ってのはあながち間違ってない歌詞なんだね(まちなさい

          • それにしても相当する波長の光の強さは太陽光のほうがよほど上でしょうね。
            日光って本当桁違いに明るいので。

            ブルーライトが本当に目の疲れの原因なら、外で働いている人のほうが遥かに目が疲れるはず。

          • by Anonymous Coward

            > あれも一種のトップコーティングらしい

            コーティングの製品もあれば,レンズに吸収剤を練りこんでいるのもあります

            蛍光灯などに反射して,眼鏡が青っぽく光っているのはコーティングです
            一方で練りこみのはあの独特の反射が抑えられていて,かつコーティングのような劣化がないです

            私はあの独特の反射があまり好きじゃないので,練りこみの買ってます

    • by Anonymous Coward on 2017年03月27日 14時32分 (#3183080)

      JINSと言えばブルーライトカットメガネ
      あれは結局、効果あるのかな。

      横浜の夜景の見え方も変わるんだろうか

    • by Anonymous Coward

      >JINSと言えばブルーライトカットメガネ
      >あれは結局、効果あるのかな。
      めっさ効果あります。
      ほんと肩こりがひどいことあったけど、なくなったもの。

      #医者によってはブルーライトカットメガネを処方することもあるようです。

    • by Anonymous Coward

      省略されてるけど、あれも欧米人のためのもので日本人は輝度をさげるだけで良いそうです。

      http://www.asahi.co.jp/be-bop/backnumber/170302.html [asahi.co.jp]

      # かくいう私はHeavy Use ユーザー

  • by Anonymous Coward on 2017年03月27日 15時16分 (#3183115)

    実店舗で購入したから、漏洩はないと思いたい。
    というか、いい加減保存内容を見直せば?
    保存する量を最小限にする、支払いシステムは他社大手(Paypal、Stripe)に任せる、WWWサーバにデータを置かない。
    この3点を守ってる会社、日本にどれだけいるのか?

    ここに返信
    • 購入したレンズの情報は店舗で保存しないというから
      保存する量って今もかなり少ないんじゃない?

      # 少ないけど致命的なデータだったということかorz

    • by Anonymous Coward

      今回は

      クレジットカード情報についてはサーバー上には保管していなかったために漏洩は確認されていないとのこと。

      なので支払いシステム云々は問題なさそうだけどな。

      それはそれとして、これ以上被害が拡大するならStruts(2)を使ってるシステム、強制的にストップさせたほうがいいんじゃねえの?
      今回の脆弱性対策がされてることを確認できたサイトから順次再開ってことで。

      国を挙げてサイバーノーガード戦法とかやってても国民は幸せになれないと思うんだが。

      • by Anonymous Coward on 2017年03月27日 15時54分 (#3183139)

        今回は

        クレジットカード情報についてはサーバー上には保管していなかったために漏洩は確認されていないとのこと。

        なので支払いシステム云々は問題なさそうだけどな。

        参考文献[1] → 増田の「JINS はマジでやばい [hatelabo.jp]」
        参考文献[2] → GMOの「不正アクセスに関するご報告と情報流出のお詫び [gmo-pg.com]」

        クレジットカード番号等は、JINSのサーバを通過せずに直接GMOペイメントサービスへと流れているので、JINSから見れば、確かに「クレジットカード情報についてはサーバー上には保管していなかったために漏洩は確認されていない」という見解にはなるだろう。

        しかしながら当のGMOPG自体が既にお漏らし宣言しているので、JINSのサーバからクレジットカード番号等が漏れ出したか否かなどということは、もはや些細な問題でしかない。

        要するに、JINSのサーバから漏れなかったがGMOPGから既に漏れてた。ということ。
        つまり、ふたつ合わせて(以下略

        • by Anonymous Coward

          GMOがやらかしたのは都税のサーバで、決済サービスやってるサーバじゃないだろ。味噌もクソもいっしょにするなよ。

          • by Anonymous Coward

            やらかしたのは都税の決裁サービスのサーバーなので、
            どっちもウンコですな。

            仮に別サーバであっても、同じ分野のサービスでシステム基盤を変えるとは考え難いので、JINSが使っている決裁サービスも安全とは言い難いですね。

            • by Anonymous Coward

              やらかしたのは都税の決裁サービスのサーバーなので、
              どっちもウンコですな。

              仕事したことある?
              セキュリティ対策なんて企業単位サーバー単位ですよ。

              君の考えは犯罪を起こしたのは男だから男はみんな犯罪犯すって言っているようなもの。

            • by Anonymous Coward

              > 仮に別サーバであっても、同じ分野のサービスでシステム基盤を変えるとは考え難いので、JINSが使っている決裁サービスも安全とは言い難いですね。
              グモPGの肩持つわけじゃないけどシステム基盤は完全に別だと思うよ
              同じだったらグモPGからさらに大量のカード情報が漏洩してるハズだからな

        • by Anonymous Coward

          >要するに、JINSのサーバから漏れなかったがGMOPGから既に漏れてた。ということ。
          GMOにもクレジットカード情報置いてませんでしたがなにか?

          叩くならもっと勉強するかもっと情報を用意しませんか?

      • by Anonymous Coward
        どうやって?
    • by Anonymous Coward

      他はともかくとして
      >支払いシステムは他社大手(Paypal、Stripe)に任せる
      についてはコCVRが下がるから嫌がる所は多いでしょう
      一度登録しておけば良いとは言え、そもそもPaypal自体の利用率や知名度が日本では低く一般的な消費者向けではPaypal一本は非現実的
      Paypal非利用者にとっては登録画面が増え離脱率が跳ね上がる
      一昔前は国内向けのECパッケージで標準対応が皆無だった(最近ではそーでもないですが)
      取扱金額が少なくても手数料が安価なのは魅力なんですけど・・・

    • by Anonymous Coward

      >保存する量を最小限にする、
      どの辺が最小限じゃなかったんでしょうか?

      >支払いシステムは他社大手(Paypal、Stripe)に任せる、
      ソース読みました??支払情報が流出したという情報ありますか?

      >WWWサーバにデータを置かない。
      ウェブサーバーにデータ置いてあったという情報ありました?

      ってかいまどき「WWWサーバにデータ」ってないでしょう?
      叩くならもっと勉強をしてきましょう。

    • by Anonymous Coward

      ガチな中小だったら、Eストアー [estore.co.jp]のようなシステムを利用しているんじゃない。

      >WWWサーバにデータを置かない。
      それCGI世代ですがな。もはやosCommerceとかは、絶滅したと信じたい。

  • by Anonymous Coward on 2017年03月27日 17時23分 (#3183204)

    strutsの脆弱性情報って年がら年中出ている気がするんだけど、struts無しと比べてそんなに生産性が違うんですか?

    ここに返信
    • by Anonymous Coward

      単にずっと使ってきたから。
      今だったら標準のJava EEで固めてもいいし、Strutsよりいいフレームワークが色々ある。

    • by Anonymous Coward

      昔作ってそのまんま、なんじゃないの。

      • by Anonymous Coward

        知っている限りでは、商用フレームワーク内にこっそりStrutsが含まれていて、
        そのフレームワークのパッチ適用やバージョンアップには、作ったとき以上の金がかかるパターンがありますし、
        そこから逃げようにも、フレームワークに大きく依存していてほとんど作り直しになるので逃げられないってのもあります。

    • by Anonymous Coward
      今回の不正アクセスでどれだけお金がかかったかという観点でみれば
      流出して、利用者にお金を払ったわけでもないので、損害がないものに
      積極的にお金をかけて修正をするかというのがこの手の会社の発想かと。

      その結果、不正アクセスして見つかってやばいとこだけ最小限の修正すりゃーいんでしょ。
      って考えるので、根本的なところはかわらないのでは・・・
    • by Anonymous Coward

      安い人員での人海戦術がし易いから選ばれる。

      生産性は、、、Java自体が基礎学習には良いと思うが業務で使うには冗長過ぎるな。

      JVMならScalaの方が良いと思ってる。

    • by Anonymous Coward
      struts無しでやるとなると、strutsを1から作るのと同じだけの工数かけてstrutsより脆弱性の多いサーバ作るだけだろうね
      • by Anonymous Coward

        Struts 並に動的なアレコレを盛り込んだものを作ろうとしたらそうなる。
        けど、普通に要件でそんなものは不要なので、もっと穏当なものになる。

        • by Anonymous Coward
          納品してからアレコレを盛り込んでって言(った|われた)ことのない人だけがそう言っていい
          • by nim (10479) on 2017年03月28日 13時16分 (#3183731)

            いやそれにしてもStrutsは何でもできるようにしすぎ。
            パラメータの文字列からその名前のメソッドを呼び出す機構(あちこちにある)なんて、
            セキュリティ関係者だったら普通怖くて実装できないレベル。

            • by Anonymous Coward

              俺もかつてその手のアイデアを「良いアイデアあるじゃん」と閃いたことあったけど、徳丸本読んで目が覚めたわ。
              シェアトップクラスのフレームワークが目が覚めないまま実装しちゃったんだな。

  • by Anonymous Coward on 2017年03月28日 1時23分 (#3183522)

    新番組: IPPA23区監察課
    第1話「もらし顧客情報のJINS」

    ここに返信
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...