パスワードを忘れた? アカウント作成
14945280 story
情報漏洩

東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 38

ストーリー by nagazou
いくらなんでも情報公開が遅すぎるのでは 部門より
東映の子会社である東映ビデオは9月30日、同社が運営する「東映ビデオ オンラインショップ」で、ユーザーのクレジットカード情報(10,395件)が漏えいした可能性があると発表した(東映ビデオ)。

原因は外部からの不正アクセスとみられ、漏洩はクレジットカード会社からの指摘で判明したという。クレジットカード会社から漏洩の指摘があったのは5月11日。その段階でサービスは停止している。5月29日に第三者機関による調査が完了したとのこと。最終報告書によれば、2019年5月27日から2020年5月11日の期間に不正アクセスが発生、利用者のクレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコードが流出した可能性があるとしている。

5月に判明していたにもかかわらず、9月まで発表が遅れた理由としてはカード会社と協議を重ねていたためだとしている。

Dharma-store 曰く、

クレカ情報、1万件が流出か 東映子会社DVD販売サイトから
https://news.yahoo.co.jp/articles/906c73ffff8b815b3636d475d97cfa81a29a8306

というのは、まぁありがちな話かなぁとおもったら、

> 同社によると、昨年5月から今年5月までに同サイトでカード決済した人の
> カード番号、名義人の氏名、有効期限、セキュリティーコードが漏れた可能性があるという。

とのこと。セキュリティコードが漏れるって、わざわざ保存してたんでしょうか。
決済システムの仕様が分かりませんが、そんな恐ろしいことしてて良いんですかねぇ。

可能性としては、システムいじられてて、入力データがダダ漏れになってたということも
あるかもしれませんが、それにしてもセキュリティコードもってかれたらたまりません。

実店舗でも、最近は店員にカードを渡さない感じになってきたので有り難いのですが、
昔は裏面のセキュリティコードは修正テープで隠したりしてたものです。
ああ、マイナンバーカードもそうすればいいんじゃないの。>ナンバー隠してどうする。

とりあえず、東映には、仮面ライダーやら戦隊ヒーローやら、セーラームーンやらプリキュアやら
正義の味方がたんまりいるので、あの方たちになんとかしてもらうのが宜しいかと。
ああ、ショッカーもたんまりいいるんでしたっけ。

東映太秦映画村のイーッ!ところをショッカーがご紹介!!
https://www.youtube.com/watch?v=J-OYcziq_XU

  • by Anonymous Coward on 2020年10月03日 20時17分 (#3900047)

    セキュリティ専門家の徳丸氏の2019年のブログ [tokumaru.org]をどうぞ。

    はてなブックマークやtwitterのコメントを見ていると、「セキュリティコードを保存していたのか」という意見が見えますが、おそらくセキュリティコードは保存されていなかったと推測します。

    大半の事件でセキュリティコードが漏洩している
    上表からわかるように、藤い屋オンラインショップを除いたすべての事件でセキュリティコードが漏洩しています。昨年のまとめも見ていただくとわかりますが、最近のウェブサイトからのクレジットカード情報漏洩では、セキュリティコードが漏洩する方がむしろ普通です。
    昨年10月のブログ記事「クレジットカード情報盗み出しの手口をまとめた」では、クレジットカード情報を窃取する手口をType1~Type5にまとめましたが、この中で、Type4とType5はセキュリティコードを容易に盗むことができます。

    ここに返信
    • ご教示ありがとうございます。

      やっぱり、流石に保存はしてはいないのですね。とはいえ、どうにも困ったコトで。

    • 東映ビデオの発表でもそうなってますね。

      弊社は、システム上クレジットカード情報は一切保持しておりませんが、第三者によるプログラム改ざんにより、以下の情報を不正に取得された...

      まぁたしかに、サイトに細工されてカード番号その他全て横から取られたら無力だな。
      決済サイトに飛んでそっちで決済、って方法がやはり一番安全なんだろうか。
      その場合でもType5の偽入力画面で入れちゃったら駄目だなぁ…。

      • いや、そこはちょっと言い淀んでる。
        本報告はこれ。

        調査の結果、2019年5月27日から2020年5月11日の期間に弊社システムの一部の脆弱性をついたことによる不正アクセスを示す形跡が認められたものの、クレジットカード情報の不正取得に繋がる改ざんや不正プログラム等は発見されませんでした。しかしながら、クレジットカード会社等と協議を重ねた結果、同期間に弊社オンラインショップを利用されたお客様に注意を喚起しその利益を保護すべく、弊社がカード再発行費用等を負担することでカード会社等と連携し公表を実施することといたしました。

        この報告って要するに、状況的に漏洩が発生したと判断されるが原因は不明である、ってことだろう。
        報告書では悉く「可能性がある」という表現で統一されている。
        多分運営側にも原因が見えていなくて、サイト改竄と断定はできない状況なのだと思われる。

        • アクセス解析とか広告とか共有とかなにか外部のリソース呼んでて、そこがやられたとか有りそう。
          ちゃんと自サイトが呼び出してる外部リソースの中身とか監視してたのかな?

          --
          私を信じないで、貴方を裏切ってしまうから。
          • Q: クレジットカード情報を抹消してください
            A: 大変申し訳ございませんが、クレジットカード情報につきましては弊社では一切保持していないため、対応いたしかねます。
            利用停止や再発行を含むご依頼につきましては、ご契約のクレジットカード会社さまに直接お問い合わせ頂けますようお願い申し上げます。
            Q: セキュリティ対策は整備されていたのか?
            A: フォレンジック調査会社にて、弊社システムのペネトレーションテスト(侵入テスト)も行って頂きましたが、緊急、または重大な脆弱性を認める箇所はございませんでした。ただし、軽微な指摘事項がございましたので、万全を期すためにシステム自体を破棄し、新しいシステムに移行予定です。監視体制につきましても強化した上でサービスを再開すべく構築を進めております。

            外部リソース汚染であれば、管理が及ばないか・・・。
            それ以外にも、ディスクには証拠が残らないタイプの攻撃手法とか・・・。潜伏性/隠滅性の高い手法とか・・・。
            クレジットカード不正利用された会員の共通点(別の原因)から「東映ビデオ オンラインショップ」に非がない可能性もありうるかな・・・?  この場合、クレジットカード会社の指摘ミスか。ややこしい話になりそう。

            2020年5月11日、クレジットカード会社より、弊社が契約する決済代行会社を通じて弊社オンラインショップにてクレジットカード
            決済を利用したお客様のカード情報が漏えいしている可能性がある
            と指摘を受け、当該サイトの全サービスを停止いたしました。

            まさかまさかの「決済代行会社」が真犯人(原因)とか・・・?
            ベネッセの内部犯や神奈川県庁のHDDヤフオク出品の事件から、オンライン攻撃ではない可能性もあるのでは・・・?
            ヤフオク出品は老後の生活資金稼ぎが目的でしたっけ・・・?
            あと、テロリストに家族を人質に取られ自社システムをハッキングするシステム部長は映画化済みです。
            そう言えば、ネットワーク機器に不審なチップ、正規流通品に紛れ込む中国の耳もありましたな。
            考えたらきりがないね。

      • by Anonymous Coward

        3Dセキュアでパスワードはブラウザなりマネージャに保存しておく

        • by Anonymous Coward

          3-D Secure1.0は、CookieでSameSite=Noneを設定しないと使えないけれど、最近のブラウザではSameSite属性がない場合はSameSite=Laxとなり、SameSite=Noneを設定する場合はSecure属性を同時に設定しないといけない。
          そもそも、別ドメインの認証ページに遷移する点がユーザーの離脱率を上げるなど、非常に大不評だ。

          みんな、さっさと3-D Secure2.0に移行してくれ。

    • by Anonymous Coward

      いまだに漏洩=保存程度の認識で批判しちゃうんですねぇ。

      • by Anonymous Coward

        イコールじゃないけど、パスワードなんかは保存してる例も多いしな。
        (さすがにクレジットカード使うサイトでクレカ番号を保存してたりすると恰好がつかんが。)

        保存はしてなくても、サイトを改竄されて仕込まれたりしてたとしたら、それは別の意味で
        ヤバイから、批判されるべき落ち度があったことについてはなんも変わらん。

        • by Anonymous Coward

          落ち度があればいわれのない批判をしていいわけではないよ

        • by Anonymous Coward

          >クレジットカード使うサイトでクレカ番号を保存してたりすると恰好がつかんが

          大半のECサイトでは、クレカ番号もパスワードも保存していると思いますが

          • by Anonymous Coward on 2020年10月06日 21時46分 (#3901812)

            >大半のECサイトでは、クレカ番号もパスワードも保存していると思いますが
            まともなECサイトは改正割販法施行前からカードの生情報は保存していませんよ
            まともなECサイトでは「カード情報を保存する」オプションはトークナイゼーション [it-trend.jp]という仕組みでカード会社側で保存されているカード情報に紐づけられるトークンを保存しているだけです
            (トークン+下4桁、有効期限というケースもあり)
            このトークンはカード情報が暗号化されている訳ではないので当然復号もできませんし、通常は加盟店番号や特定のIPアドレスなどとセットでしか決済を受付無い事が多いため流出しても被害が最小限に抑えられます
            一方デメリットもあり一般的にトークンを用いた決済は例えトークン取得時の初回決済にセキュリティコードや3Dセキュアを通過していたとしても、それらを利用しないカード番号と有効期限のみの決済として扱われ不正利用(チャージバック)の対象外とされています
            そのため改正割販法施行前は、ダメダメなECサイトがトークナイゼーションを利用せずカード番号、有効期限、セキュリティコードを保存していた理由の一つでもあるのですが・・・

            余談ですがクレジット会社が運営しているECモールもカード番号は基幹システムのみがもち、ECモール自体はトークンのみの保存が一般的です

          • by Anonymous Coward

            Amazonで買い物するとき何も聞かれないということは全部憶えているということだよね

            • by Anonymous Coward
              さすがに番号は覚えてないと次回の決済はできないが、それ以外は別に覚えておく必要はない
        • by Anonymous Coward

          Stripe使ってるサイトは確認用で下4ケタだけ表示されてるぞ
          (毎回APIで取ってきて表示して保存してないかもしれないが、サイト内のPDF領収書は載っけてるし)

  • とりあえず、東映には、仮面ライダーやら戦隊ヒーローやら、セーラームーンやらプリキュアやら正義の味方がたんまりいるので、あの方たちになんとかしてもらうのが宜しいかと。
    ああ、ショッカーもたんまりいいるんでしたっけ。

    そもそも、東映って、初代仮面ライダーの頃は、まだ、ヤクザとズブズブだったような会社だったので……。
    (まぁ、あの頃は「ヤクザとズブズブ」はどこでもだろうけど、東映は「ヤクザとズブズブ」度が酷いにも関わらず、ヤクザを怒らせるような映画を作ってた事で)

    ここに返信
  • by Anonymous Coward on 2020年10月06日 13時13分 (#3901474)

    東映ビデオの発表によれば、カード情報は一切保持していないとのこと。

    > Q: 漏えいした可能性がある情報は何ですか?
    > A: 弊社は、システム上クレジットカード情報は一切保持しておりませんが、第三者によるプログラム改ざんにより、以下の情報を不正に取得された可能性があると指摘されております。

    https://www.toei-video.co.jp/%E6%9C%AA%E5%88%86%E9%A1%9E/%E5%BC%8A%E7%... [toei-video.co.jp]

    ここに返信
  • by Anonymous Coward on 2020年10月03日 12時31分 (#3899824)

    2018/6の改正割賦販売法の施行でカード情報非保持orPCIDSS準拠必須であり、後者は加盟店には負担が重いので大抵非保持にします。
    非保持化前の旧サーバから漏れたという事案は見ましたが、今年まで運営してたものとすると少なくとも旧サーバではない=非保持化非対応ではない
    とすると販売サイトがハッキングされててカード情報が随時吸われていたものと推測されます。

    決済代行会社契約してるのに更にカード情報も保持する阿呆な仕様にしてなければ、ですが。

    ここに返信
    • by Anonymous Coward

      内容とあまり関係ないのにぶら下げて申し訳ないのですが
      PCIDSS取得した時のコンサル会社の説明では、ECサイトなどでカード情報を入力させる際
      決済代行会社(アクワイアラ)の入力画面へ画面遷移ではなく、自社サイト内の入力フォームに入力させてPOSTの場合例えDBやログに一切保存しなくても「保持」と見做されるとの説明を受けたのですが、自社サイトのフォームで入力させているECサイトはPCI DSSに準拠しているのだろうか・・・・
      ※この仕様のおかげで小売各社がレジでカードを読み込むことが出来なくなり、外付端末経由になったためレジ通過速度が低下し、下手をするとキャッシュレスの方が時間がかかるという酷い状態になったのもアレですが・・・

      改正割販法施行にあたりコンサルも入れず決済代行会社から提供される情報を独自解釈している所だとアホな仕様は沢山ありそう・・・

      • by Anonymous Coward

        決済代行が暗号鍵を発行して通信するトークン決済であればPCIDSS準拠で裏側の通信が変わるだけなので
        サイト上の入力フォームの見た目は変わりませんよ。
        経路上は暗号化されているためいわゆるカード情報の非保持・非通過が実現されます。

        ただ、ここで防げるのは経路の盗聴による被害なのでフィッシングページを用意されるようなケースは防げません。
        まぁこれは決済代行の入力画面に似せられたページに飛ばされても同じことなのでどうしょうもないですが。

        • by Anonymous Coward

          >決済代行が暗号鍵を発行して通信するトークン決済であればPCIDSS準拠で裏側の通信が変わるだけなので
          >サイト上の入力フォームの見た目は変わりませんよ。
          >経路上は暗号化されているためいわゆるカード情報の非保持・非通過が実現されます。
          3899824のACですがトークン決済の事では無く、
          自社サイト内の入力フォームにカードの生情報を入力させるサイトについて書いたつもりです
          自社サイト内の入力フォームに入力する以上HTTPSで通信しても一度は自社サーバで復号され決済会社へ連携されますよね
          PCIDSSの場合自社で復号できる場合は非保持・非通過に該当しない=未だに自社サイトにカード生情報を入力させる企業はPCIDSS準拠??と疑問が湧いたということです

          • by Anonymous Coward

            カード、セキュリティコードなどを入力するフォームのあるページには、カード番号などの秘匿すべき入力データをトークン化するJavaScriptコードが埋め込まれています。

            ECサイトのサーバに submit で送信される前に、フォームに入力された内容はトークナイズを行なうシステム(カード決済システムを提供する会社のサーバ)と通信を行なってトークン化されます。ECサイトにはこのトークンのみが送信されます。

            ECサイトはブラウザから送信されたトークン化された情報を使って決済システムとやりとりするため、カード情報そのものを必要としません。

            という事でECサイトにカード情報そのものが渡される事はありません(少なくとも私がからんでいる所の方法では)。 ユーザのブラウザと決済システム提供会社しか生のカード情報に触れられないようになっています(そのように実装するよう指示されます)。

          • by Anonymous Coward

            ですから、他の方もおっしゃってますが入力フォームが自社サイト上であっても
            自社サーバを通過する次点で決済代行にしか復元できない形でトークン化されてるから非通過なんですって。
            最初に受けた説明で先入観できちゃってませんか。
            通常ECサイトは決済フロー上外部サイトに遷移するのは嫌います。(そのまま離脱や切断されると在庫の引き当てや与信枠の状況をウォッチしければならないので)
            なので今時は自社フォーム上でカード情報を入力される実装の方が要望は多いです。
            情報をアップデートされた方がよいですよ。

      • by Anonymous Coward

        スーパーのレジの仕組みが面倒に変わったのは、そういう背景だったのか。
        調べる程では無いが気にはなっていた事なので有り難い情報です。

        • by Anonymous Coward

          それはPOSシステム+磁気ストライプでの読み取りだったから。
          しかしストライプでカード偽造が簡単にできる問題が噴出してからいい加減ICチップで決済せえや!と
          尻を叩かれている状況(対面決済のIC化は今年の3末までが期限だったので今慌てて対応してるのはかなり遅れてる)
          日本では対応が遅れているのは久しいが、不正利用は加盟店が全責任を負わないといけないので決済端末に置き換えているのはそのせい。

  • by Anonymous Coward on 2020年10月06日 13時23分 (#3901484)

    たれ込みからリンクされたブログによると、要は偽サイトにカード情報入力させられてたのではないかという。
    自社サイトのデータ抜かれたとかいう以前に、自社サイトのWebサーバーに侵入されて偽リンク設置されてるんでしょう。
    ということは、自社サーバーのセキュリティアップデートしてないとかいう、古典的ミスじゃないでしょうか。
    ソーシャルハッキングの次くらい。「新しい手口!」みたいな騒ぎ方はなんとも。

    ここに返信
  • by Anonymous Coward on 2020年10月06日 13時38分 (#3901491)

    > 最終報告書によれば、2019年5月27日から2020年5月11日の期間に不正アクセスが発生

    ほぼ1年間やられっぱなしだった、ということ?
    1万件ということは1日30件。リピーターを数えていないんで、まずまずの繁盛。

    ここに返信
  • by Anonymous Coward on 2020年10月06日 13時50分 (#3901496)

    カード会社は、PCIDSSに適合した大手のネット・IT企業等のシステムのみ自社でカード決済して、
    それ以外は決済代行会社を使用するように要請?してる

    だから、大手以外は、いまは自社でカード決済せずに、決済代行会社のサーバに丸投げしてるところが多い
    本来それだとカード番号やセキュリティコードを保存しないはずだが、システム改変されて盗まれる事態が多発

    ここに返信
    • by Anonymous Coward

      自社サイトでカード情報を入力させ、内容だけVPN経由で決済代行会社に送る、過去担当システムは問題ない?
      決済代行会社との送受信データを、全部調査用に平文テキストログ保存しているから、内部から丸見えだった。

  • タイトル書き直すべきでは?

    ここに返信
  • by Anonymous Coward on 2020年10月06日 21時19分 (#3901796)

    ちょっと前、近鉄のサイトで会員登録しようとしたら、堂々とセキュリティコードを要求されたので、
    会員登録するのをやめたことがある。
    どうみても保存されるようにしか見えなかったな。今はどうかしらんが。

    ここに返信
typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...