聖教新聞社のECサイトが改ざんされる。カード情報を盗む偽の決済画面が設置される 24
ストーリー by hylom
改ざんされたならなんでもありな気はする 部門より
改ざんされたならなんでもありな気はする 部門より
聖教新聞社のECサイト「SOKAオンラインストア」が不正アクセスを受けて改ざんされ、利用者のクレジットカード番号が不正に窃取される事件が発生した(日経xTECH)。セキュリティ研究者の徳丸浩氏によると、ここで使われたのは「新しい手口」だという。
今回の攻撃手法については、サイトの運営を委託されていたトランスコスモスが調査結果を発表している(発表PDF)。これによると、偽のカード決済画面の設置とECサイトのシステムの改ざんが行われており、決済時に偽の決済画面に遷移するようになっていたという。偽の決済画面ではカード情報を入力するとその情報を記録、もしくは攻撃者に送信した上で決済エラーが発生した旨を表示して正規の決済画面に遷移させていたようだ。
昨今ではセキュリティ対策としてカード情報を保持しないことが一部で推奨されているが、こういった「偽の決済画面」を使った手法ではカード情報を保持しなくとも攻撃によって情報漏洩が発生してしまうとし、徳丸氏は『クレジットカード情報「非保持化」では対策できないものであり、今後のクレジットカード情報漏洩事件の主流となる可能性があります。』と述べている。
新しい手口も何も (スコア:2)
そもそもサーバの制御を奪われてプログラムそのものに細工されている以上、クレカ情報の保持・非保持などすでに瑣末時ではなかろうか。 徳丸氏のブログにもデータベースに入られたらしい記述もあるし、パスワードだだ漏れで何でもありの状態だったようだと思う。
もしも内部プログラムのアップデートを何度か行っていたにもかかわらず、この状態が切れ目なく続いていたのだとしたらサーバプログラマの誰かが意図的に仕込んでいたということも考えられる。
それに、いままでにも外部のメールで誘導したサイトでIDパスクレカ入れさせておいて×出して本物に移動するのは多かったし。 新しいのは本物サイトの中でやってることだけかな。
Re: (スコア:0)
> そもそもサーバの制御を奪われてプログラムそのものに細工されている以上、クレカ情報の保持・非保持などすでに瑣末時ではなかろうか。
仰る通り。なのに徳丸氏が「非保持化なんて意味ないだろ。バーカ、バーカ」みたいな論調なのが理解できないんですよね。
どちらかと言えば、プログラムに細工されてからそれが発見されるまでの間にデータを入力したユーザだけに被害が限定されて
いて、(過去のユーザには影響がない訳ですから)PCI DSS 準拠していてクラックされるケースよりも被害を低減できているの
ではないかと…
それとも徳丸氏はクラックされても完璧に保護する方法があるとでも言うのかな… まさかね。
Re:新しい手口も何も (スコア:1)
徳丸氏はずっとPCI-DSSに漠然とした不安を抱いていたので、今回、事件が発生したことを受けて子供のように鬼の首を取ったように喜んでいるかのように感じました。
そのうち冷静になって今回のを見直し、カード番号非保持がどうとかと関係ないと気づいた時に素直に自己の誤りを認めて訂正するか、無かったことにしちゃうかがちょっと見ものかなと(徳丸氏なら誤り訂正すると思うけど)
フィッシングサイトではよくある画面遷移だけど (スコア:1)
偽フォーム → 偽エラー → 本物
と遷移して発覚を遅らせる手法はフィッシングサイトでは広まってるけど、
ECサイトを改ざんしてカード情報詐取に使われたのが「新しい」のかな?
Re: (スコア:0)
ぽいね。
侵入手段か何かに新規性があるのかと思ったのにこれを新しいと表現しちゃうかぁ……て感じ。
決済系を他システムとは別枠で考えているから新しいという表現になった的な感じにも思える。
フィッシング経路として正規のECサイトを改竄したものを使っただけだよね。
フィッシング経路がバリエーション豊富なのは今に始まったことでもないし、XSSやらなんやらで正規サイト経由の攻撃の可能性とかも昔から言われてたし……被害が確認可能な実行例としちゃ珍しいかもだが新規ではなかろう。
大変です!サイトが改ざんされました (スコア:1)
そうか
Re: (スコア:0)
slad.jp にも『いいね!』ボタンをつけてくれw
ネットでクレカ決済する奴は馬鹿 (スコア:0)
プリペイドなりコンビニ決済なりを使うべき
Re:ネットでクレカ決済する奴は馬鹿 (スコア:1)
クレジットカードには、補償がある。
馬鹿だから生協新聞に(以下略 (スコア:0)
カード会社に指摘されるまで気づかなかった運営もおバカさんなのかもしれないがw
Re: (スコア:0)
使う立場なら、プリペイドは、もっと馬鹿だろw
ほとんどが何の補償もないし、すでにお金もらってる会社が調査なんてやればやるだけ経費かかるんだから、本腰なんていれる?
クレジットカードは、条件内で補償、クレジット会社は、調査しないと損するから、調査やるだろ多分。
総罰・別罰・冥罰・顕罰 (スコア:0)
犯人の意図は知らないけど
宗教的には何かの罰だろ
信仰心無いけど法華経はよんだことあるから
学会員が
「法華経の内容?現実的じゃないだろ?地面から塔が出てきたりするんだぞ?」
などとラノベ叩く文芸部員みたいなこといいだしたから
心のなかで「仏罰覿面」と繰り返し唱えたよ
敵対者が怪しい (スコア:0)
アカが疑わしいな
あいつら、資金作りと称して銀行強盗してたぐらいやから
Re: (スコア:0)
普通にやくざとかの犯罪集団でしょ。
宗教団体はよく狙われるのよ。
大金もってるくせに、お金のイメージつくの嫌って泣き寝入りしがちだから。
Re: (スコア:0)
日本のやくざはやんないよ
この相手なら
Re: (スコア:0)
共産党と創価はかなり過激な抗争してたような
闘士は減ったが先鋭化して…とか
Re: (スコア:0)
いつの時代の話をしてるんだ?ばーか。
Re: (スコア:0)
信心が足りないからクレカの番号を取られたんだよ
Re: (スコア:0)
犯人に意図なんて無いっしょ
脆いECサイトがあったから改ざんしただけ
とはいえ最初のケースが寄りによってそこかよという気はしないでもない
このツリーみたいに議論が分散してくれちゃうからね
その意味では敢えて狙ったのかもね
決済サービスの知名度とドメイン (スコア:0)
決済サービスが日本だと微妙な気がする。
海外だとPaypalなど超有名どころがあるので偽物も気付きやすいけど、
日本だとそこまでメジャー級が無いというか、少なくとも一般に知名度がない。
さらに、ドメインが決済処理専用だったりして、超絶怪しいドメインで処理させる業者もいくつかある。
なので、自分はできる限り有名どころでしか買い物はしないかな。
今回のような零細ECサイトなんかはパスですわ。Amazonで売ってないものは買わない、的な。
Re: (スコア:0)
今時、独自でカード決済ネットワーク繋いでるようなのいるのかな?
だいたいはNTTデータのCAFIS使っているはずなのでPayPal!なんかは独自かな
国内でメジャー級だとGMO-PG辺りかとか思いますは今は決済代行業者を使う場合は
カード番号非通過対応しなければ行けないので中小ECサイトにカード番号渡る事はないのではないかな?
SegaなんかもしれっとStripeになってたし
Re: (スコア:0)
中小だと最近はAmazon Pay [amazon.com]も増えてる感じ。
こっちならIDとかパスワードも保持しなくて良いし、住所入力とかさせなくて済むからかな。
Re: (スコア:0)
クレカの種類とオーソリ対応考えたら CAFIS 等決済代行に丸投げが一番だし
自社でクレカ情報を持つリスクを敢えて選ぶ必要はないはずだよな。
零細 EC だと宅配業者のクレジットサービス(クロネコペイメント等)を
扱っている場合があるので、それを利用する場合がある。
けど、最近は代引きがあれば代引きにしてるな。
Re: (スコア:0)
零細ECの決済というとこういう感じでしょうか(コラ
https://www.welcart.com/archives/tips-cat/payment/ [welcart.com]