東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 38
ストーリー by nagazou
いくらなんでも情報公開が遅すぎるのでは 部門より
いくらなんでも情報公開が遅すぎるのでは 部門より
東映の子会社である東映ビデオは9月30日、同社が運営する「東映ビデオ オンラインショップ」で、ユーザーのクレジットカード情報(10,395件)が漏えいした可能性があると発表した(東映ビデオ)。
原因は外部からの不正アクセスとみられ、漏洩はクレジットカード会社からの指摘で判明したという。クレジットカード会社から漏洩の指摘があったのは5月11日。その段階でサービスは停止している。5月29日に第三者機関による調査が完了したとのこと。最終報告書によれば、2019年5月27日から2020年5月11日の期間に不正アクセスが発生、利用者のクレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコードが流出した可能性があるとしている。
5月に判明していたにもかかわらず、9月まで発表が遅れた理由としてはカード会社と協議を重ねていたためだとしている。
Dharma-store 曰く、
原因は外部からの不正アクセスとみられ、漏洩はクレジットカード会社からの指摘で判明したという。クレジットカード会社から漏洩の指摘があったのは5月11日。その段階でサービスは停止している。5月29日に第三者機関による調査が完了したとのこと。最終報告書によれば、2019年5月27日から2020年5月11日の期間に不正アクセスが発生、利用者のクレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコードが流出した可能性があるとしている。
5月に判明していたにもかかわらず、9月まで発表が遅れた理由としてはカード会社と協議を重ねていたためだとしている。
Dharma-store 曰く、
クレカ情報、1万件が流出か 東映子会社DVD販売サイトから
https://news.yahoo.co.jp/articles/906c73ffff8b815b3636d475d97cfa81a29a8306というのは、まぁありがちな話かなぁとおもったら、
> 同社によると、昨年5月から今年5月までに同サイトでカード決済した人の
> カード番号、名義人の氏名、有効期限、セキュリティーコードが漏れた可能性があるという。とのこと。セキュリティコードが漏れるって、わざわざ保存してたんでしょうか。
決済システムの仕様が分かりませんが、そんな恐ろしいことしてて良いんですかねぇ。可能性としては、システムいじられてて、入力データがダダ漏れになってたということも
あるかもしれませんが、それにしてもセキュリティコードもってかれたらたまりません。実店舗でも、最近は店員にカードを渡さない感じになってきたので有り難いのですが、
昔は裏面のセキュリティコードは修正テープで隠したりしてたものです。
ああ、マイナンバーカードもそうすればいいんじゃないの。>ナンバー隠してどうする。とりあえず、東映には、仮面ライダーやら戦隊ヒーローやら、セーラームーンやらプリキュアやら
正義の味方がたんまりいるので、あの方たちになんとかしてもらうのが宜しいかと。
ああ、ショッカーもたんまりいいるんでしたっけ。東映太秦映画村のイーッ!ところをショッカーがご紹介!!
https://www.youtube.com/watch?v=J-OYcziq_XU
最近はセキュリティコードを保存していなくても盗まれる (スコア:5, 参考になる)
セキュリティ専門家の徳丸氏の2019年のブログ [tokumaru.org]をどうぞ。
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:2)
ご教示ありがとうございます。
やっぱり、流石に保存はしてはいないのですね。とはいえ、どうにも困ったコトで。
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:1)
東映ビデオの発表でもそうなってますね。
まぁたしかに、サイトに細工されてカード番号その他全て横から取られたら無力だな。
決済サイトに飛んでそっちで決済、って方法がやはり一番安全なんだろうか。
その場合でもType5の偽入力画面で入れちゃったら駄目だなぁ…。
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:1)
いや、そこはちょっと言い淀んでる。
本報告はこれ。
調査の結果、2019年5月27日から2020年5月11日の期間に弊社システムの一部の脆弱性をついたことによる不正アクセスを示す形跡が認められたものの、クレジットカード情報の不正取得に繋がる改ざんや不正プログラム等は発見されませんでした。しかしながら、クレジットカード会社等と協議を重ねた結果、同期間に弊社オンラインショップを利用されたお客様に注意を喚起しその利益を保護すべく、弊社がカード再発行費用等を負担することでカード会社等と連携し公表を実施することといたしました。
この報告って要するに、状況的に漏洩が発生したと判断されるが原因は不明である、ってことだろう。
報告書では悉く「可能性がある」という表現で統一されている。
多分運営側にも原因が見えていなくて、サイト改竄と断定はできない状況なのだと思われる。
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:1)
アクセス解析とか広告とか共有とかなにか外部のリソース呼んでて、そこがやられたとか有りそう。
ちゃんと自サイトが呼び出してる外部リソースの中身とか監視してたのかな?
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:1)
Q: クレジットカード情報を抹消してください
A: 大変申し訳ございませんが、クレジットカード情報につきましては弊社では一切保持していないため、対応いたしかねます。
利用停止や再発行を含むご依頼につきましては、ご契約のクレジットカード会社さまに直接お問い合わせ頂けますようお願い申し上げます。
Q: セキュリティ対策は整備されていたのか?
A: フォレンジック調査会社にて、弊社システムのペネトレーションテスト(侵入テスト)も行って頂きましたが、緊急、または重大な脆弱性を認める箇所はございませんでした。ただし、軽微な指摘事項がございましたので、万全を期すためにシステム自体を破棄し、新しいシステムに移行予定です。監視体制につきましても強化した上でサービスを再開すべく構築を進めております。
外部リソース汚染であれば、管理が及ばないか・・・。
それ以外にも、ディスクには証拠が残らないタイプの攻撃手法とか・・・。潜伏性/隠滅性の高い手法とか・・・。
クレジットカード不正利用された会員の共通点(別の原因)から「東映ビデオ オンラインショップ」に非がない可能性もありうるかな・・・? この場合、クレジットカード会社の指摘ミスか。ややこしい話になりそう。
2020年5月11日、クレジットカード会社より、弊社が契約する決済代行会社を通じて弊社オンラインショップにてクレジットカード
決済を利用したお客様のカード情報が漏えいしている可能性があると指摘を受け、当該サイトの全サービスを停止いたしました。
まさかまさかの「決済代行会社」が真犯人(原因)とか・・・?
ベネッセの内部犯や神奈川県庁のHDDヤフオク出品の事件から、オンライン攻撃ではない可能性もあるのでは・・・?
ヤフオク出品は老後の生活資金稼ぎが目的でしたっけ・・・?
あと、テロリストに家族を人質に取られ自社システムをハッキングするシステム部長は映画化済みです。
そう言えば、ネットワーク機器に不審なチップ、正規流通品に紛れ込む中国の耳もありましたな。
考えたらきりがないね。
Re: (スコア:0)
3Dセキュアでパスワードはブラウザなりマネージャに保存しておく
Re: (スコア:0)
3-D Secure1.0は、CookieでSameSite=Noneを設定しないと使えないけれど、最近のブラウザではSameSite属性がない場合はSameSite=Laxとなり、SameSite=Noneを設定する場合はSecure属性を同時に設定しないといけない。
そもそも、別ドメインの認証ページに遷移する点がユーザーの離脱率を上げるなど、非常に大不評だ。
みんな、さっさと3-D Secure2.0に移行してくれ。
Re: (スコア:0)
いまだに漏洩=保存程度の認識で批判しちゃうんですねぇ。
Re: (スコア:0)
イコールじゃないけど、パスワードなんかは保存してる例も多いしな。
(さすがにクレジットカード使うサイトでクレカ番号を保存してたりすると恰好がつかんが。)
保存はしてなくても、サイトを改竄されて仕込まれたりしてたとしたら、それは別の意味で
ヤバイから、批判されるべき落ち度があったことについてはなんも変わらん。
Re: (スコア:0)
落ち度があればいわれのない批判をしていいわけではないよ
Re: (スコア:0)
>クレジットカード使うサイトでクレカ番号を保存してたりすると恰好がつかんが
大半のECサイトでは、クレカ番号もパスワードも保存していると思いますが
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:3, 参考になる)
>大半のECサイトでは、クレカ番号もパスワードも保存していると思いますが
まともなECサイトは改正割販法施行前からカードの生情報は保存していませんよ
まともなECサイトでは「カード情報を保存する」オプションはトークナイゼーション [it-trend.jp]という仕組みでカード会社側で保存されているカード情報に紐づけられるトークンを保存しているだけです
(トークン+下4桁、有効期限というケースもあり)
このトークンはカード情報が暗号化されている訳ではないので当然復号もできませんし、通常は加盟店番号や特定のIPアドレスなどとセットでしか決済を受付無い事が多いため流出しても被害が最小限に抑えられます
一方デメリットもあり一般的にトークンを用いた決済は例えトークン取得時の初回決済にセキュリティコードや3Dセキュアを通過していたとしても、それらを利用しないカード番号と有効期限のみの決済として扱われ不正利用(チャージバック)の対象外とされています
そのため改正割販法施行前は、ダメダメなECサイトがトークナイゼーションを利用せずカード番号、有効期限、セキュリティコードを保存していた理由の一つでもあるのですが・・・
余談ですがクレジット会社が運営しているECモールもカード番号は基幹システムのみがもち、ECモール自体はトークンのみの保存が一般的です
Re: (スコア:0)
Amazonで買い物するとき何も聞かれないということは全部憶えているということだよね
Re: (スコア:0)
Re: (スコア:0)
Stripe使ってるサイトは確認用で下4ケタだけ表示されてるぞ
(毎回APIで取ってきて表示して保存してないかもしれないが、サイト内のPDF領収書は載っけてるし)
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:1)
PCI DSS的には、頭のBIN部分と最後尾の4桁だけであれば保存されていてもカード番号ではないとみなされる。
そもそも東映って……(オフトピ-100) (スコア:2)
そもそも、東映って、初代仮面ライダーの頃は、まだ、ヤクザとズブズブだったような会社だったので……。
(まぁ、あの頃は「ヤクザとズブズブ」はどこでもだろうけど、東映は「ヤクザとズブズブ」度が酷いにも関わらず、ヤクザを怒らせるような映画を作ってた事で)
Re: (スコア:0)
だからズバットこと早川さんが [wikipedia.org]親友の敵討ちと称して全国のヤクザを潰して回ったんじゃないですか!
ただし宇宙時代でも一番怖いのはヤクザでしたが [wikipedia.org]
カード情報は保存していない (スコア:1)
東映ビデオの発表によれば、カード情報は一切保持していないとのこと。
> Q: 漏えいした可能性がある情報は何ですか?
> A: 弊社は、システム上クレジットカード情報は一切保持しておりませんが、第三者によるプログラム改ざんにより、以下の情報を不正に取得された可能性があると指摘されております。
https://www.toei-video.co.jp/%E6%9C%AA%E5%88%86%E9%A1%9E/%E5%BC%8A%E7%... [toei-video.co.jp]
加盟店はカード番号非保持の筈 (スコア:0)
2018/6の改正割賦販売法の施行でカード情報非保持orPCIDSS準拠必須であり、後者は加盟店には負担が重いので大抵非保持にします。
非保持化前の旧サーバから漏れたという事案は見ましたが、今年まで運営してたものとすると少なくとも旧サーバではない=非保持化非対応ではない
とすると販売サイトがハッキングされててカード情報が随時吸われていたものと推測されます。
決済代行会社契約してるのに更にカード情報も保持する阿呆な仕様にしてなければ、ですが。
Re: (スコア:0)
内容とあまり関係ないのにぶら下げて申し訳ないのですが
PCIDSS取得した時のコンサル会社の説明では、ECサイトなどでカード情報を入力させる際
決済代行会社(アクワイアラ)の入力画面へ画面遷移ではなく、自社サイト内の入力フォームに入力させてPOSTの場合例えDBやログに一切保存しなくても「保持」と見做されるとの説明を受けたのですが、自社サイトのフォームで入力させているECサイトはPCI DSSに準拠しているのだろうか・・・・
※この仕様のおかげで小売各社がレジでカードを読み込むことが出来なくなり、外付端末経由になったためレジ通過速度が低下し、下手をするとキャッシュレスの方が時間がかかるという酷い状態になったのもアレですが・・・
改正割販法施行にあたりコンサルも入れず決済代行会社から提供される情報を独自解釈している所だとアホな仕様は沢山ありそう・・・
Re: (スコア:0)
決済代行が暗号鍵を発行して通信するトークン決済であればPCIDSS準拠で裏側の通信が変わるだけなので
サイト上の入力フォームの見た目は変わりませんよ。
経路上は暗号化されているためいわゆるカード情報の非保持・非通過が実現されます。
ただ、ここで防げるのは経路の盗聴による被害なのでフィッシングページを用意されるようなケースは防げません。
まぁこれは決済代行の入力画面に似せられたページに飛ばされても同じことなのでどうしょうもないですが。
Re: (スコア:0)
>決済代行が暗号鍵を発行して通信するトークン決済であればPCIDSS準拠で裏側の通信が変わるだけなので
>サイト上の入力フォームの見た目は変わりませんよ。
>経路上は暗号化されているためいわゆるカード情報の非保持・非通過が実現されます。
3899824のACですがトークン決済の事では無く、
自社サイト内の入力フォームにカードの生情報を入力させるサイトについて書いたつもりです
自社サイト内の入力フォームに入力する以上HTTPSで通信しても一度は自社サーバで復号され決済会社へ連携されますよね
PCIDSSの場合自社で復号できる場合は非保持・非通過に該当しない=未だに自社サイトにカード生情報を入力させる企業はPCIDSS準拠??と疑問が湧いたということです
Re: (スコア:0)
カード、セキュリティコードなどを入力するフォームのあるページには、カード番号などの秘匿すべき入力データをトークン化するJavaScriptコードが埋め込まれています。
ECサイトのサーバに submit で送信される前に、フォームに入力された内容はトークナイズを行なうシステム(カード決済システムを提供する会社のサーバ)と通信を行なってトークン化されます。ECサイトにはこのトークンのみが送信されます。
ECサイトはブラウザから送信されたトークン化された情報を使って決済システムとやりとりするため、カード情報そのものを必要としません。
という事でECサイトにカード情報そのものが渡される事はありません(少なくとも私がからんでいる所の方法では)。 ユーザのブラウザと決済システム提供会社しか生のカード情報に触れられないようになっています(そのように実装するよう指示されます)。
Re: (スコア:0)
ですから、他の方もおっしゃってますが入力フォームが自社サイト上であっても
自社サーバを通過する次点で決済代行にしか復元できない形でトークン化されてるから非通過なんですって。
最初に受けた説明で先入観できちゃってませんか。
通常ECサイトは決済フロー上外部サイトに遷移するのは嫌います。(そのまま離脱や切断されると在庫の引き当てや与信枠の状況をウォッチしければならないので)
なので今時は自社フォーム上でカード情報を入力される実装の方が要望は多いです。
情報をアップデートされた方がよいですよ。
Re: (スコア:0)
スーパーのレジの仕組みが面倒に変わったのは、そういう背景だったのか。
調べる程では無いが気にはなっていた事なので有り難い情報です。
Re: (スコア:0)
それはPOSシステム+磁気ストライプでの読み取りだったから。
しかしストライプでカード偽造が簡単にできる問題が噴出してからいい加減ICチップで決済せえや!と
尻を叩かれている状況(対面決済のIC化は今年の3末までが期限だったので今慌てて対応してるのはかなり遅れてる)
日本では対応が遅れているのは久しいが、不正利用は加盟店が全責任を負わないといけないので決済端末に置き換えているのはそのせい。
古典的 (スコア:0)
たれ込みからリンクされたブログによると、要は偽サイトにカード情報入力させられてたのではないかという。
自社サイトのデータ抜かれたとかいう以前に、自社サイトのWebサーバーに侵入されて偽リンク設置されてるんでしょう。
ということは、自社サーバーのセキュリティアップデートしてないとかいう、古典的ミスじゃないでしょうか。
ソーシャルハッキングの次くらい。「新しい手口!」みたいな騒ぎ方はなんとも。
細く長く (スコア:0)
> 最終報告書によれば、2019年5月27日から2020年5月11日の期間に不正アクセスが発生
ほぼ1年間やられっぱなしだった、ということ?
1万件ということは1日30件。リピーターを数えていないんで、まずまずの繁盛。
カード会社は決済代行会社の使用を推奨 (スコア:0)
カード会社は、PCIDSSに適合した大手のネット・IT企業等のシステムのみ自社でカード決済して、
それ以外は決済代行会社を使用するように要請?してる
だから、大手以外は、いまは自社でカード決済せずに、決済代行会社のサーバに丸投げしてるところが多い
本来それだとカード番号やセキュリティコードを保存しないはずだが、システム改変されて盗まれる事態が多発
Re: (スコア:0)
自社サイトでカード情報を入力させ、内容だけVPN経由で決済代行会社に送る、過去担当システムは問題ない?
決済代行会社との送受信データを、全部調査用に平文テキストログ保存しているから、内部から丸見えだった。
セキュリティコードを保存してた事実はなさそうだし (スコア:0)
タイトル書き直すべきでは?
会員登録でセキュリティコードを要求 (スコア:0)
ちょっと前、近鉄のサイトで会員登録しようとしたら、堂々とセキュリティコードを要求されたので、
会員登録するのをやめたことがある。
どうみても保存されるようにしか見えなかったな。今はどうかしらんが。