あるAnonymous Coward 曰く、ぴあが運営する、プロバスケットボールリーグ「Bリーグ」の公式チケットサイトおよびファンクラブサイトが不正アクセスを受けた。最大で15万4599件の個人情報流出の可能性があるという(ITmedia、ぴあの発表)。攻撃はApache Struts 2の脆弱性を狙ったもの。攻撃されたサーバーにはセキュリティコードを含むクレジットカード決済情報も含まれていたという。流出した情報を使ったクレジットカードの不正利用があり発覚した。
クレジットの被害はデビットカードで最小限に (スコア:1)
万人向けではありませんが、カード使用頻度が少なく小額な方には、専用の口座を設けた上で
デビットカードの利用をお勧めします。
デビットカードは決済と同時に口座から引き落とされ、残高が足りなければ決済されませんので
口座残高以上の被害には遭いませんから。
私は専用口座を普段はカラッポ状態、使用する直前に入金するスタイルをとっています。
デビットカードは以下のような不満を耳にしますけどね...
・VISAなどを付けないと利用範囲が狭い、付けると年会費が必要
・使用するたびに銀行口座の引落しとして記録されるので鬱陶しい
・カード発行は主に銀行で、その銀行の口座しか利用できない
デビットカードは昨年末に話題になってますね。
https://askslashdot.srad.jp/story/16/12/24/2332259/ [askslashdot.srad.jp]
--
「潰れそうで潰れない店」のTVを見ると親近感を覚えます
Re: (スコア:0)
クレジットカードは,引き落としまでの時間差で不正利用補償の申請ができるから被害0にできるけど,デビッドカードは同等の保証は確保されているのですか?
被害額を少なくしたいなら,クレジットカードの限度額を小さくすればいいんじゃない?
Re:クレジットの被害はデビットカードで最小限に (スコア:1)
>デビッドカードは同等の保証は確保されているのですか?
専門家ではないので正確には申し上げられませんが、同等の保障はないはずです。
デビットカードは「現金払いの代行手段」のようなものですから、当たり前といえば当たり前です。
実質「借金」であるクレジットカードとはそもそも性格が異なります。
>被害額を少なくしたいなら,クレジットカードの限度額を小さくすればいいんじゃない?
それで用が足りればいいですが、実際には余裕を見てそこそこの限度額にせざるを得ないのではありませんか?
デビットカードなら、口座をカラにしておけばそもそも被害に遭わない訳です。
=>普段口座をカラにできるほど頻度が少なければって事なんですがね(笑)
まあ、各々メリット/デメリットありますので、そこは自分に合うものを選択すればいいと思います。
Re: (スコア:0)
なるほど,参考にさせていただきます.
Re: (スコア:0)
以前は防御でVISAデビット使っていたのですが、結構不満がたまるんですよね
・ECサイトによっては注文時オーソリのみ、発送時に決済なんて所もある
・いざトラブルが起きるとクレジットカード会社より対応が悪い(ことが多い)
・3Dセキュアなどの追加認証の対応しているカードが少ない(改善しつつありますが)
・口座を空にしての運用はそもそもめんどくさい
クレジットカードなら流出し不正利用されたところで殆ど電話一本で返金されるので
普段用と別にネット用のクレジットカードを持った方が楽なことに気付きました
Re:クレジットの被害はデビットカードで最小限に (スコア:1)
>・口座を空にしての運用はそもそもめんどくさい
私は「口座を空にしての運用」がむしろ気に入っております。
まあ、そこは 利用形態・頻度・利用者の性格 によるんじゃないでしょうか。
>普段用と別にネット用のクレジットカードを持った方が楽なことに気付きました
結局私は現金商売をしているのと性格的に借金が嫌なのでデビットカードが気に入ったという事だと思います。
Re: (スコア:0)
普段用と別にネット用のクレジットカードを持った方が楽なことに気付きました
カード会社によっては、ネット決済専用のバーチャルカードを追加で作れるところがありますね。
Re: (スコア:0)
デビットってオーソリだけで引き落とし入るのが普通じゃね?オーソリがキャンセルされたら返金されるだけで。
むしろ「注文受付時にオーソリ、担当者が正式受注時に同じ金額でもう1発オーソリ、発送したら更にオーソリしてそこだけ決済確定(先行2発のオーソリは夜間バッチでキャンセルかけてたり期限切れまで放置したり)」みたいな腐ったECサイトが偶にあるから困る。
カード番号漏洩リスクに備えて買い物する分だけVISAデビットの口座にいれてるのに、オーソリ複数飛ばされて多重引き落とし(後で帰ってくる)されたり、最悪1つのサイトが複数オーソリ飛ばすことで限度額すっ飛ばした挙げ句「承認されなかったのでキャンセルしますね」とかメールしてきたりするのな。
Re: (スコア:0)
年会費みたいなのをデビットカードで本当に払えるのかは疑問が残ります。
クレジットカードの場合、エポスカードが日本では先進的な制度を用意しています。
・クレジットカードの海外店舗利用、海外決済ネット利用の一時停止・再開がwebから自由に行える
・クレジットカードの枠の一部をバーチャルカードに割り振ることができ、利用の一時停止・再開がwebから自由に行える
>デビットカードは決済と同時に口座から引き落とされ、残高が足りなければ決済されませんので口座残高以上の被害には遭いませんから。
名目上はそうですが、実際には利用承諾を取らないい
Re:クレジットの被害はデビットカードで最小限に (スコア:1)
仰ることは尤もだと思います。
他でも申し上げておりますが、デビットカードは「現金払いの代行手段」、
クレジットカードは「借金の代行手段」でありますから、
各々の性格を理解した上で目的に相応しい方法を選べばよいと思います。
ただ、デビットカードの認知度が低い事から、このネタでコメントしたのですが、
皆さんから色々とご意見を伺っておりますと、クレジットカードに比べてサービスがイマイチな点、
メリットを享受できるケースの少なさで、結局この認知度なのかなと、妙に納得した次第...
Re: (スコア:0)
カードを使われる側からしても結構デメリットがあるんですよね
・継続課金系で使われると支払いへの信頼度が低くい
・昨今様々な会社が発行しているためBINから、デビットカード全てを弾くというのは現実的ではない
・2段階認証を有効にすると、対応していないデビットカードは購入できない
・返金反映が翌月以降や、オーソリだけ通してキャンセルかけても限度額が翌日以降、下手をすると翌月まで復元しない
・オーソリがOKで返ってきても実際には金額が抑えられておらず、後日売上経常するとエラーが出たことがある
・BINで蹴ったら蹴ったで、使えないのはおかしいとクレームが入る
・某社のはデビットカードのくせに与信枠があり10万まで利用できるので、口座残高以上使用できることでクレームになる
個人的にはリアル店舗なら別ですが、ECサイトなどのネット決済サービスを運営するなら対応したく無いです
Re: (スコア:0)
なんかいろんな問題をごっちゃにしてない?
これ別にデビットに限らないような・・・デビットで落とすような奴はクレジットでも与信枠ギリギリ使って継続課金落とすことはあるだろうし。
つーか継続課金系なんてデビットだろうがクレジットだろうが落とした時の対処はシステムで作り込むべきで、何が問題になるのかわからん。
これは別に「デビットが駄目な理由」ではないよね。「デビットが駄目」という前提のもとに発生する問題ではあっても。
Re: (スコア:0)
デビット信者がんばってるなぁ
Re: (スコア:0)
継続課金については,2016年頃から一般加盟店で利用できるようになってまだ歴史が浅い感じですね.
Re: (スコア:0)
おれもデビット派。
まあ単に「クレカ持って無い奴はまともな大人じゃないだろwww」という空気が気に食わなくて
クレカを使うと、自分もその空気の維持管理に加担してしまいそうで
何もかも気に食わないだけだけど。
あとスマホとか腕時計とか交通系カードとか、「持って無い奴はダメ」とかいう空気は何もかも気に食わん。
デビの不満といえば、欲しいモノの倍額を用意しておかないと心配だ、という点もあるなあ。
購入を決定した時に口座から金が引き落とされるんだけど
その後でもう一回、店か誰かが「本当にコイツ金持ってんの?」と確認処理をする事があるんだと。
そこで「コイツ金持ってないやんけ!」と判定されて、キャンセル扱いになる事もあるんだと。
セキュリティーコード (スコア:0)
セキュリティコードを残しておくなんてアホだねえ
Re:セキュリティーコード (スコア:1)
今回もログに残っちゃってました!てへぺろ
な感じらしいですね
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/042500950/?itp_leaf_body [nikkeibp.co.jp]
どちらにしろ、そういった仕様を被害にあうまで直してなかったっていうのはね…
Re:セキュリティーコード (スコア:1)
任意のコード実行可能な脆弱性なんだから、根本的な問題はそこじゃない。
ログが取られてなかったとしても漏洩する。攻撃者は仕事が楽で助かっただろうけど。
ニュース解説とか言いながら、オレは悪くない的な運営の言い分をそのまま載せててイラッとするな。
そんな提灯記事よりこっちのほうがいいよ。
http://f36type.cocolog-nifty.com/blog/2017/03/b-e028.html [cocolog-nifty.com]
Re: (スコア:0)
Strutsの脆弱性と設計上の問題はまた別の話
ログが無ければ脆弱性で乗っ取られたとしても
少なくとも「過去のデータ」については安全だっただろうし
Re: (スコア:0)
通信ログって暗号化されているんじゃないの?
どうみてもDBから漏れたと思うのだけど、
また利用者に500円渡して終わりかな。
パスワードはもう限界 (スコア:0)
NFC機能を使ったクレカアプリみたいなのを作って決済のときスマホを決済端末として使えればいいと前から思っているんですが
だれか作ってないんでしょうか?
それで決済確認は登録されたところへSMSか電話認証ですればスマホとクレカ同時に盗まれない限り決済は出来ないし
決済情報はクレカの決済機関だけ持つから安全
Re: (スコア:0)
それなんてApplePay?
当社からの仕様 (スコア:0)
ぴあの発表抜粋
”当社からの発注仕様、運用ガイドラインと異なり、委託先のデータベース上(ファンクラブサイト)と通信ログ上(チケットサイト)に不適切に保持されていたことによるもので、”
仕様を公開し、また、どのように不適切だったのかを公開しなければ運用会社に非があるのか判断できないな。