パスワードを忘れた? アカウント作成
13922710 story
インターネット

ヤマダ電機のネットショッピングサイトが不正アクセスで改ざんされる。クレジット情報最大37,832件流出の可能性 33

ストーリー by hylom
入力を盗む系はたちが悪い 部門より

家電量販店大手のヤマダ電機が、同社のネットショッピングサイトに不正アクセスがあり顧客の情報が漏洩したとの発表を行った

これによると、不正アクセスによって決済アプリケーションが改ざんされており、3月18日から4月26日の間に同サイトに登録されたクレジットカードの情報が流出した可能性があるという。流出した可能性があるクレジットカード情報はクレジットカード番号および有効期限、セキュリティコード最大37832件とのこと。

同サイトではセキュリティコードの保存は行っていなかったが、アプリケーションの改ざんによって顧客が入力した情報が抜き取られてしまったようだ(Yahoo!ニュース)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by mars12 (28939) on 2019年05月31日 14時48分 (#3625003) 日記

    > 同サイトではセキュリティコードの保存は行っていなかったが、
    > アプリケーションの改ざんによって顧客が入力した情報が抜き取られてしまったようだ

    セキュリティコード云々以前に
    データ直接抜き取られるとか一番ダメなやつではないのか。
    本当にカード情報だけ?と言わざるを得ない気が。

    • by Anonymous Coward on 2019年05月31日 15時39分 (#3625052)

      https://blog.tokumaru.org/2018/10/methods-of-stealing-credit-card-info... [tokumaru.org]
      https://blog.tokumaru.org/2019/05/credit-card-information-leak-inciden... [tokumaru.org]
      手口はType4だと推測されています。これはデータベースからデータを抜いたわけではなく
      入力フォームを改竄して外部に送信するやつです。
      ECサイト側がデータベースにカードデータを保存しなくなったので新たに出てきた手口ですね。

      親コメント
    • by Anonymous Coward

      フロントエンドに改ざんがあったからといってDBが抜かれてるとは限らん。
      サイトの仕組み的に抜ける余地があったとしても、入力フォームの盗聴よりはるかにムズい。

      一番ダメなのは
      規約に反してセキュリティコードも保存してて、しかもDBに保存してある全会員の全情報をごっそり抜き取られた
      かな。

      • by Anonymous Coward

        サービス側のセキュリティの程度と、改ざんの手口が気になりますね・・公表されるかな。

  • by Anonymous Coward on 2019年05月31日 15時11分 (#3625018)

    ずいぶんレトロなシステム使ってるんだなあと
    寝不足だなあこれ

    • by Anonymous Coward

      わざわざ16bit目を立てなくても…
      ここは素直に32767で。

      • by Anonymous Coward

        1オリジンかも知れないだろ。

  • by Anonymous Coward on 2019年05月31日 14時42分 (#3625001)

    今回の流出については何もない
    こういう会社なのかな

    • by Anonymous Coward

      こういうところに書いてないで、そういう会社に直接聞いたら?

    • by Anonymous Coward

      たしかユニシスだったはずだがどこまで噛んでるのかね

      • by Anonymous Coward

        そりゃ改ざん出来なくなってるシステムってのが望まれるのはわかるけど
        当時の設計に不備がなければ、納品した後に発生する現時点の改ざんは運用者の問題なんじゃないの?

    • by Anonymous Coward

      期間中に購入しましたか?
      対象外なら公式サイトなどの告知で十分では。

      • by Anonymous Coward

        おそらくこういう経営者

    • by Anonymous Coward

      や、まだ分からない。

  • by Anonymous Coward on 2019年05月31日 14時53分 (#3625008)

    この手の案件があるから通販にはニコスのe-さいふ使ってたんだけど
    先月でサービス終了したんですよね。目下以下の条件で乗り換え先を探し中。
    ・カード番号の破棄と再発行が容易にできる
    ・低手数料
    ・物理カードの有無にはこだわらない
    エポスとかかなあ…

    • by Anonymous Coward

      VISAのワンタイムデビットでも使ったら?
      クレカじゃないけど同様に使えるし。

    • by Anonymous Coward

      FinTech全盛でMasterCardプリペイドねっと、Vプリカ、JNBカードレスVisaデビット、ドコモ口座VISAデビット、エポスバーチャルカード、……と選り取り見取りですよ。

      エポス以外は手数料が掛かってしまうので、私は専ら普通に物理カード使っていますがね。楽天KCのような極悪アクワイアラでもない限り不正利用補償が下りますから。

    • by Anonymous Coward

      自社でちゃんとエンジニア抱えてきっちり開発・運営してるとこじゃないとなかなか信用しづらいわな。
      Amazonとか楽天みたいに。

      外注とかで他人任せだとどうしても費用なんかでセキュリティ後回しになるだろうし、
      発注主が技術わかってないんじゃ残念仕様になるのも必至だし。

      なので、自分はリスクによって使うクレカ変えてる。
      Amazonとか信用度高いとこは某ゴールドカード、大手系なら某一般カード、で零細などハイリスクなとこはKyash使ってる。
      まぁでもこのやり方でいけば、ヤマダなら一般カードだっただろうし、一定のダメージはでたかも。
      サブスクリプションはゴールドカードにしてる。

      • by Anonymous Coward

        クレジットカードを使うときってトラブルが起こりそうなところほど,クレジットカード会社のサポートが期待できるところを選ばない?

        • by Anonymous Coward

          クレジットカードに付いてる損害保険いいよねー。あれだけで元が取れた気になれる。

          • by Anonymous Coward

            > 元が取れた気になれる

            実際、元は取れてないんですね。損してるじゃないですか。
            #何かが違う。

      • by Anonymous Coward

        外注とかで他人任せだとどうしても費用なんかでセキュリティ後回しになるだろうし、
        発注主が技術わかってないんじゃ残念仕様になるのも必至だし。

        ホントこれ
        某fintechな会社から「過払いしちゃったから〇〇宛に返金してね」ってメールが外注のメーリングサービス経由で送られてきて、「なりすましかよ!」って思った
        spfとかdmarcとかで確認もできないし…

        • by Anonymous Coward

          実際に、なりすましなんだろ。

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...