パスワードを忘れた? アカウント作成
13262878 story
情報漏洩

ぴあの運営するBリーグチケットサイトで個人情報15万件が流出、Struts2の脆弱性が原因 24

ストーリー by hylom
またStrutsか 部門より
あるAnonymous Coward 曰く、

ぴあが運営する、プロバスケットボールリーグ「Bリーグ」の公式チケットサイトおよびファンクラブサイトが不正アクセスを受けた。最大で15万4599件の個人情報流出の可能性があるという(ITmediaぴあの発表)。

攻撃はApache Struts 2の脆弱性を狙ったもの。攻撃されたサーバーにはセキュリティコードを含むクレジットカード決済情報も含まれていたという。流出した情報を使ったクレジットカードの不正利用があり発覚した。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 万人向けではありませんが、カード使用頻度が少なく小額な方には、専用の口座を設けた上で
    デビットカードの利用をお勧めします。

    デビットカードは決済と同時に口座から引き落とされ、残高が足りなければ決済されませんので
    口座残高以上の被害には遭いませんから。

    私は専用口座を普段はカラッポ状態、使用する直前に入金するスタイルをとっています。

    デビットカードは以下のような不満を耳にしますけどね...
     ・VISAなどを付けないと利用範囲が狭い、付けると年会費が必要
     ・使用するたびに銀行口座の引落しとして記録されるので鬱陶しい
     ・カード発行は主に銀行で、その銀行の口座しか利用できない

    デビットカードは昨年末に話題になってますね。
    https://askslashdot.srad.jp/story/16/12/24/2332259/ [askslashdot.srad.jp]

    --

    「潰れそうで潰れない店」のTVを見ると親近感を覚えます

    • by Anonymous Coward

      クレジットカードは,引き落としまでの時間差で不正利用補償の申請ができるから被害0にできるけど,デビッドカードは同等の保証は確保されているのですか?

      被害額を少なくしたいなら,クレジットカードの限度額を小さくすればいいんじゃない?

      • >デビッドカードは同等の保証は確保されているのですか?

        専門家ではないので正確には申し上げられませんが、同等の保障はないはずです。
        デビットカードは「現金払いの代行手段」のようなものですから、当たり前といえば当たり前です。
        実質「借金」であるクレジットカードとはそもそも性格が異なります。

        >被害額を少なくしたいなら,クレジットカードの限度額を小さくすればいいんじゃない?

        それで用が足りればいいですが、実際には余裕を見てそこそこの限度額にせざるを得ないのではありませんか?
        デビットカードなら、口座をカラにしておけばそもそも被害に遭わない訳です。
         =>普段口座をカラにできるほど頻度が少なければって事なんですがね(笑)

        まあ、各々メリット/デメリットありますので、そこは自分に合うものを選択すればいいと思います。

        親コメント
        • by Anonymous Coward

          なるほど,参考にさせていただきます.

    • by Anonymous Coward

      以前は防御でVISAデビット使っていたのですが、結構不満がたまるんですよね
      ・ECサイトによっては注文時オーソリのみ、発送時に決済なんて所もある
      ・いざトラブルが起きるとクレジットカード会社より対応が悪い(ことが多い)
      ・3Dセキュアなどの追加認証の対応しているカードが少ない(改善しつつありますが)
      ・口座を空にしての運用はそもそもめんどくさい
      クレジットカードなら流出し不正利用されたところで殆ど電話一本で返金されるので
      普段用と別にネット用のクレジットカードを持った方が楽なことに気付きました

      • >・口座を空にしての運用はそもそもめんどくさい

        私は「口座を空にしての運用」がむしろ気に入っております。
        まあ、そこは 利用形態・頻度・利用者の性格 によるんじゃないでしょうか。

        >普段用と別にネット用のクレジットカードを持った方が楽なことに気付きました

        結局私は現金商売をしているのと性格的に借金が嫌なのでデビットカードが気に入ったという事だと思います。

        親コメント
      • by Anonymous Coward

        普段用と別にネット用のクレジットカードを持った方が楽なことに気付きました

        カード会社によっては、ネット決済専用のバーチャルカードを追加で作れるところがありますね。

      • by Anonymous Coward

        以前は防御でVISAデビット使っていたのですが、結構不満がたまるんですよね
        ・ECサイトによっては注文時オーソリのみ、発送時に決済なんて所もある

        デビットってオーソリだけで引き落とし入るのが普通じゃね?オーソリがキャンセルされたら返金されるだけで。

        むしろ「注文受付時にオーソリ、担当者が正式受注時に同じ金額でもう1発オーソリ、発送したら更にオーソリしてそこだけ決済確定(先行2発のオーソリは夜間バッチでキャンセルかけてたり期限切れまで放置したり)」みたいな腐ったECサイトが偶にあるから困る。
        カード番号漏洩リスクに備えて買い物する分だけVISAデビットの口座にいれてるのに、オーソリ複数飛ばされて多重引き落とし(後で帰ってくる)されたり、最悪1つのサイトが複数オーソリ飛ばすことで限度額すっ飛ばした挙げ句「承認されなかったのでキャンセルしますね」とかメールしてきたりするのな。

    • by Anonymous Coward

      年会費みたいなのをデビットカードで本当に払えるのかは疑問が残ります。

      クレジットカードの場合、エポスカードが日本では先進的な制度を用意しています。

      ・クレジットカードの海外店舗利用、海外決済ネット利用の一時停止・再開がwebから自由に行える
      ・クレジットカードの枠の一部をバーチャルカードに割り振ることができ、利用の一時停止・再開がwebから自由に行える

      >デビットカードは決済と同時に口座から引き落とされ、残高が足りなければ決済されませんので口座残高以上の被害には遭いませんから。
      名目上はそうですが、実際には利用承諾を取らないい

      • 仰ることは尤もだと思います。

        他でも申し上げておりますが、デビットカードは「現金払いの代行手段」、
        クレジットカードは「借金の代行手段」でありますから、
        各々の性格を理解した上で目的に相応しい方法を選べばよいと思います。

        ただ、デビットカードの認知度が低い事から、このネタでコメントしたのですが、
        皆さんから色々とご意見を伺っておりますと、クレジットカードに比べてサービスがイマイチな点、
        メリットを享受できるケースの少なさで、結局この認知度なのかなと、妙に納得した次第...

        親コメント
        • by Anonymous Coward

          カードを使われる側からしても結構デメリットがあるんですよね
          ・継続課金系で使われると支払いへの信頼度が低くい
          ・昨今様々な会社が発行しているためBINから、デビットカード全てを弾くというのは現実的ではない
          ・2段階認証を有効にすると、対応していないデビットカードは購入できない
          ・返金反映が翌月以降や、オーソリだけ通してキャンセルかけても限度額が翌日以降、下手をすると翌月まで復元しない
          ・オーソリがOKで返ってきても実際には金額が抑えられておらず、後日売上経常するとエラーが出たことがある
          ・BINで蹴ったら蹴ったで、使えないのはおかしいとクレームが入る
          ・某社のはデビットカードのくせに与信枠があり10万まで利用できるので、口座残高以上使用できることでクレームになる
          個人的にはリアル店舗なら別ですが、ECサイトなどのネット決済サービスを運営するなら対応したく無いです

          • by Anonymous Coward

            なんかいろんな問題をごっちゃにしてない?

            ・継続課金系で使われると支払いへの信頼度が低くい

            これ別にデビットに限らないような・・・デビットで落とすような奴はクレジットでも与信枠ギリギリ使って継続課金落とすことはあるだろうし。
            つーか継続課金系なんてデビットだろうがクレジットだろうが落とした時の対処はシステムで作り込むべきで、何が問題になるのかわからん。

            ・昨今様々な会社が発行しているためBINから、デビットカード全てを弾くというのは現実的ではない

            これは別に「デビットが駄目な理由」ではないよね。「デビットが駄目」という前提のもとに発生する問題ではあっても。

            ・2段階認証を有効にすると、対応していないデビットカードは購入できない

            • by Anonymous Coward

              デビット信者がんばってるなぁ

            • by Anonymous Coward

              継続課金については,2016年頃から一般加盟店で利用できるようになってまだ歴史が浅い感じですね.

    • by Anonymous Coward

      おれもデビット派。

      まあ単に「クレカ持って無い奴はまともな大人じゃないだろwww」という空気が気に食わなくて
      クレカを使うと、自分もその空気の維持管理に加担してしまいそうで
      何もかも気に食わないだけだけど。
      あとスマホとか腕時計とか交通系カードとか、「持って無い奴はダメ」とかいう空気は何もかも気に食わん。

      デビの不満といえば、欲しいモノの倍額を用意しておかないと心配だ、という点もあるなあ。
      購入を決定した時に口座から金が引き落とされるんだけど
      その後でもう一回、店か誰かが「本当にコイツ金持ってんの?」と確認処理をする事があるんだと。
      そこで「コイツ金持ってないやんけ!」と判定されて、キャンセル扱いになる事もあるんだと。

  • by Anonymous Coward on 2017年04月26日 14時13分 (#3200812)

    セキュリティコードを残しておくなんてアホだねえ

    • by Anonymous Coward on 2017年04月26日 14時24分 (#3200822)

      今回もログに残っちゃってました!てへぺろ
      な感じらしいですね

      http://itpro.nikkeibp.co.jp/atcl/column/14/346926/042500950/?itp_leaf_body [nikkeibp.co.jp]

      どちらにしろ、そういった仕様を被害にあうまで直してなかったっていうのはね…

      親コメント
      • by Anonymous Coward on 2017年04月26日 15時33分 (#3200876)

        任意のコード実行可能な脆弱性なんだから、根本的な問題はそこじゃない。
        ログが取られてなかったとしても漏洩する。攻撃者は仕事が楽で助かっただろうけど。
        ニュース解説とか言いながら、オレは悪くない的な運営の言い分をそのまま載せててイラッとするな。

        そんな提灯記事よりこっちのほうがいいよ。

        http://f36type.cocolog-nifty.com/blog/2017/03/b-e028.html [cocolog-nifty.com]

        親コメント
        • by Anonymous Coward

          Strutsの脆弱性と設計上の問題はまた別の話

          ログが無ければ脆弱性で乗っ取られたとしても
          少なくとも「過去のデータ」については安全だっただろうし

        • by Anonymous Coward

          通信ログって暗号化されているんじゃないの?
          どうみてもDBから漏れたと思うのだけど、
          また利用者に500円渡して終わりかな。

  • by Anonymous Coward on 2017年04月26日 17時32分 (#3200978)

    NFC機能を使ったクレカアプリみたいなのを作って決済のときスマホを決済端末として使えればいいと前から思っているんですが
    だれか作ってないんでしょうか?
    それで決済確認は登録されたところへSMSか電話認証ですればスマホとクレカ同時に盗まれない限り決済は出来ないし
    決済情報はクレカの決済機関だけ持つから安全

  • by Anonymous Coward on 2017年04月26日 19時46分 (#3201066)

    ぴあの発表抜粋
    ”当社からの発注仕様、運用ガイドラインと異なり、委託先のデータベース上(ファンクラブサイト)と通信ログ上(チケットサイト)に不適切に保持されていたことによるもので、”

    仕様を公開し、また、どのように不適切だったのかを公開しなければ運用会社に非があるのか判断できないな。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...