パスワードを忘れた? アカウント作成
13746221 story
情報漏洩

聖教新聞社のECサイトが改ざんされる。カード情報を盗む偽の決済画面が設置される 24

ストーリー by hylom
改ざんされたならなんでもありな気はする 部門より

聖教新聞社のECサイト「SOKAオンラインストア」が不正アクセスを受けて改ざんされ、利用者のクレジットカード番号が不正に窃取される事件が発生した(日経xTECH)。セキュリティ研究者の徳丸浩氏によると、ここで使われたのは「新しい手口」だという。

今回の攻撃手法については、サイトの運営を委託されていたトランスコスモスが調査結果を発表している(発表PDF)。これによると、偽のカード決済画面の設置とECサイトのシステムの改ざんが行われており、決済時に偽の決済画面に遷移するようになっていたという。偽の決済画面ではカード情報を入力するとその情報を記録、もしくは攻撃者に送信した上で決済エラーが発生した旨を表示して正規の決済画面に遷移させていたようだ。

昨今ではセキュリティ対策としてカード情報を保持しないことが一部で推奨されているが、こういった「偽の決済画面」を使った手法ではカード情報を保持しなくとも攻撃によって情報漏洩が発生してしまうとし、徳丸氏は『クレジットカード情報「非保持化」では対策できないものであり、今後のクレジットカード情報漏洩事件の主流となる可能性があります。』と述べている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by acountname (43053) on 2018年10月17日 18時08分 (#3499424) 日記

    そもそもサーバの制御を奪われてプログラムそのものに細工されている以上、クレカ情報の保持・非保持などすでに瑣末時ではなかろうか。 徳丸氏のブログにもデータベースに入られたらしい記述もあるし、パスワードだだ漏れで何でもありの状態だったようだと思う。
    もしも内部プログラムのアップデートを何度か行っていたにもかかわらず、この状態が切れ目なく続いていたのだとしたらサーバプログラマの誰かが意図的に仕込んでいたということも考えられる。

    それに、いままでにも外部のメールで誘導したサイトでIDパスクレカ入れさせておいて×出して本物に移動するのは多かったし。 新しいのは本物サイトの中でやってることだけかな。

    • by Anonymous Coward

      > そもそもサーバの制御を奪われてプログラムそのものに細工されている以上、クレカ情報の保持・非保持などすでに瑣末時ではなかろうか。

      仰る通り。なのに徳丸氏が「非保持化なんて意味ないだろ。バーカ、バーカ」みたいな論調なのが理解できないんですよね。

      どちらかと言えば、プログラムに細工されてからそれが発見されるまでの間にデータを入力したユーザだけに被害が限定されて
      いて、(過去のユーザには影響がない訳ですから)PCI DSS 準拠していてクラックされるケースよりも被害を低減できているの
      ではないかと…

      それとも徳丸氏はクラックされても完璧に保護する方法があるとでも言うのかな… まさかね。

      • 徳丸氏はずっとPCI-DSSに漠然とした不安を抱いていたので、今回、事件が発生したことを受けて子供のように鬼の首を取ったように喜んでいるかのように感じました。
        そのうち冷静になって今回のを見直し、カード番号非保持がどうとかと関係ないと気づいた時に素直に自己の誤りを認めて訂正するか、無かったことにしちゃうかがちょっと見ものかなと(徳丸氏なら誤り訂正すると思うけど)

        親コメント
  • 偽フォーム → 偽エラー → 本物
    と遷移して発覚を遅らせる手法はフィッシングサイトでは広まってるけど、
    ECサイトを改ざんしてカード情報詐取に使われたのが「新しい」のかな?

    • by Anonymous Coward

      ぽいね。
      侵入手段か何かに新規性があるのかと思ったのにこれを新しいと表現しちゃうかぁ……て感じ。
      決済系を他システムとは別枠で考えているから新しいという表現になった的な感じにも思える。

      フィッシング経路として正規のECサイトを改竄したものを使っただけだよね。
      フィッシング経路がバリエーション豊富なのは今に始まったことでもないし、XSSやらなんやらで正規サイト経由の攻撃の可能性とかも昔から言われてたし……被害が確認可能な実行例としちゃ珍しいかもだが新規ではなかろう。

  • by Anonymous Coward on 2018年10月17日 21時20分 (#3499575)

    そうか

    • by Anonymous Coward

      slad.jp にも『いいね!』ボタンをつけてくれw

  • by Anonymous Coward on 2018年10月17日 15時40分 (#3499315)

    プリペイドなりコンビニ決済なりを使うべき

    • by Anonymous Coward on 2018年10月17日 17時57分 (#3499412)

      クレジットカードには、補償がある。

      親コメント
    • カード会社に指摘されるまで気づかなかった運営もおバカさんなのかもしれないがw

    • by Anonymous Coward

      使う立場なら、プリペイドは、もっと馬鹿だろw
      ほとんどが何の補償もないし、すでにお金もらってる会社が調査なんてやればやるだけ経費かかるんだから、本腰なんていれる?
      クレジットカードは、条件内で補償、クレジット会社は、調査しないと損するから、調査やるだろ多分。

  • by Anonymous Coward on 2018年10月17日 16時23分 (#3499346)

    犯人の意図は知らないけど
    宗教的には何かの罰だろ
    信仰心無いけど法華経はよんだことあるから
    学会員が
    「法華経の内容?現実的じゃないだろ?地面から塔が出てきたりするんだぞ?」
    などとラノベ叩く文芸部員みたいなこといいだしたから
    心のなかで「仏罰覿面」と繰り返し唱えたよ

    • by Anonymous Coward

      アカが疑わしいな
      あいつら、資金作りと称して銀行強盗してたぐらいやから

      • by Anonymous Coward

        普通にやくざとかの犯罪集団でしょ。

        宗教団体はよく狙われるのよ。
        大金もってるくせに、お金のイメージつくの嫌って泣き寝入りしがちだから。

        • by Anonymous Coward

          日本のやくざはやんないよ
          この相手なら

      • by Anonymous Coward

        共産党と創価はかなり過激な抗争してたような
        闘士は減ったが先鋭化して…とか

      • by Anonymous Coward

        いつの時代の話をしてるんだ?ばーか。

    • by Anonymous Coward

      信心が足りないからクレカの番号を取られたんだよ

    • by Anonymous Coward

      犯人に意図なんて無いっしょ
      脆いECサイトがあったから改ざんしただけ
      とはいえ最初のケースが寄りによってそこかよという気はしないでもない
      このツリーみたいに議論が分散してくれちゃうからね
      その意味では敢えて狙ったのかもね

  • by Anonymous Coward on 2018年10月17日 16時28分 (#3499350)

    決済サービスが日本だと微妙な気がする。
    海外だとPaypalなど超有名どころがあるので偽物も気付きやすいけど、
    日本だとそこまでメジャー級が無いというか、少なくとも一般に知名度がない。
    さらに、ドメインが決済処理専用だったりして、超絶怪しいドメインで処理させる業者もいくつかある。

    なので、自分はできる限り有名どころでしか買い物はしないかな。
    今回のような零細ECサイトなんかはパスですわ。Amazonで売ってないものは買わない、的な。

    • by Anonymous Coward

      今時、独自でカード決済ネットワーク繋いでるようなのいるのかな?
      だいたいはNTTデータのCAFIS使っているはずなのでPayPal!なんかは独自かな
      国内でメジャー級だとGMO-PG辺りかとか思いますは今は決済代行業者を使う場合は
      カード番号非通過対応しなければ行けないので中小ECサイトにカード番号渡る事はないのではないかな?

      SegaなんかもしれっとStripeになってたし

      • by Anonymous Coward

        中小だと最近はAmazon Pay [amazon.com]も増えてる感じ。
        こっちならIDとかパスワードも保持しなくて良いし、住所入力とかさせなくて済むからかな。

      • by Anonymous Coward

        クレカの種類とオーソリ対応考えたら CAFIS 等決済代行に丸投げが一番だし
        自社でクレカ情報を持つリスクを敢えて選ぶ必要はないはずだよな。

        零細 EC だと宅配業者のクレジットサービス(クロネコペイメント等)を
        扱っている場合があるので、それを利用する場合がある。
        けど、最近は代引きがあれば代引きにしてるな。

    • by Anonymous Coward

      零細ECの決済というとこういう感じでしょうか(コラ

      https://www.welcart.com/archives/tips-cat/payment/ [welcart.com]

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...