読売新聞子会社でクレジットカードの情報漏洩が発生 50
ストーリー by nagazou
被害がかなり出ちゃってるのがな 部門より
被害がかなり出ちゃってるのがな 部門より
読売情報開発大阪は14日、同社のECサイト「よみファネット」が不正アクセスを受けたと発表した。同社は読売新聞系列の企業。これにより1301人分のクレジットカード情報が流出した可能性が高く、なおかつ少なくとも58人分のカード情報が不正利用された。6月末の段階で被害も計767万4605円分が確認されているという。流出確認が判明した段階でよみファネットは閉鎖したとしている(読売ファミリー、ITmedia、東京新聞)。
流出した可能性が高い情報は、2020年10月24日から2021年3月2日までの期間に同サイト上にカード情報を入力した利用者。発表によれば、カード名義人、カード番号、有効期限、セキュリティコードが流出したとされる。2021年3月2日に決済代行事業者からの指摘うけたところ不正アクセスを受けていたことが4月13日に確定したという。
あるAnonymous Coward 曰く、
流出した可能性が高い情報は、2020年10月24日から2021年3月2日までの期間に同サイト上にカード情報を入力した利用者。発表によれば、カード名義人、カード番号、有効期限、セキュリティコードが流出したとされる。2021年3月2日に決済代行事業者からの指摘うけたところ不正アクセスを受けていたことが4月13日に確定したという。
あるAnonymous Coward 曰く、
とあるが、なぜセキュリティコードが保存されているのか理解に苦しむところではある。
読売情報開発大阪は発表が遅れた理由について、漏えいした可能性のある件数を特定するのに時間がかかっていたと説明。
第一報において、漏洩した可能性の件数など分かっている必要はなく、不審な請求がないか注意喚起することはできたはずだ。しかし結果的に三ヶ月も経過してから公表するとは、非常に不誠実な姿勢ではないだろうか?
保存する仕様だったとは限らない (スコア:4, すばらしい洞察)
意外と知らない人が多いのかな。保存が禁止されているCVVが流出するのは保存されていたからだ、CVVを保存するのはおかしい、と指摘する人はしばしばいますが、この手の流出はサーバに入られて入力内容を外部送信するよう決済ページを改竄されることで起きます。なので元からCVVを保存する仕様だったかどうかとか、データベースに何が保管されていたかは必ずしも関係ないです。
極端な話、必要な情報が抜けているなら攻撃者側で入力欄を書き加えてあげればいいわけですから。
Re:保存する仕様だったとは限らない (スコア:1)
被害にあった会社も、ただ「不正アクセスを受け情報が流出した」(これ以上は、言えません)としか発表するのではなく、
もう少し説明をすれば余計な憶測をされなくて済むし、結果としては自分達への余計な(余分な?)批判も防げるのに。
Re:保存する仕様だったとは限らない (スコア:2)
過去の手口を知っていれば容易に想像がつきます。どの程度まで容易に想像がつくように書くかは自由でしょう。プレスを読んで勝手に批評する人の意見を誘導するところまでは、書く人の責任ではないかなと思います。
本当に「これ以上は、言えません」 (スコア:0)
本当に「これ以上は、言えません」っていう凄いレベルってことでしょ。
つまり、やられたことも理解できず、侵入や改ざんがどうやって実施
されたのかも、他組織からの指摘後でもわかってない事はよくある。
#30歳を超えたので魔法使いになれるかな?
Re: (スコア:0)
半可通の戯言なんて恥かかせておけばいいんですよ。
Re: (スコア:0)
ネットで一番面白いのはこういう匿名の無様
これに尽きる
Re: (スコア:0)
うん、痛いところを突かれたんだね。
Re: (スコア:0)
またアホは恥かくほど必死に上塗りするからな、コメも伸びる
Re: (スコア:0)
Unicode にルーン文字があってよかったね、ぼく。
で、どちらを追い出されて、ここに来たんですか ?
この書き込みって、貴方の独自研究じゃなくて、コピペですよね。
Re: (スコア:0)
マイナスモデ済みのコピペに反応するアホwww
Re: (スコア:0)
「もう少し説明を」しようと思ったらもっともっと発表が遅れていると思うよ。
Re: (スコア:0)
そもそも憶測だけで批判することが愚かなことです
「今後の対策をどうするか」というタイミングで不正アクセスの詳細も発表したほうがよいと思いますが、「発生の事実」の発表においては経緯はあまり関係なく、結果さえ分かれば問題ありません
そういった詳細な調査を行えば、ほかのコメントで指摘されている通り発表がさらに遅れるでしょう
発表はより迅速な方がいいはずですが、こういう無駄な批判のせいで企業側もある程度情報がまとまるまで発表しない方がよい、と判断してしまうことにもつながりかねないので、むしろそういう余計な憶測をする人たちを批判すべきです
Re: (スコア:0)
読売ファミリー.comの発表文から想像すると、JINSと同じ [security.srad.jp]でサーバー書き換えられて、入力したフォーム内容をそのまま第三者サーバーに送ったんじゃないかな?
そう考えると改ざん日からが盗まれた可能性のある取引になるし、CVVとか全部ぶっこ抜きされたのもよくわかる。一方、JINSでこういう手口があったんだとわかっているんで改ざんされないようなシステムにしておくべきだったんだろうなぁ。
一方、カード番号漏洩事例なのでフォレンジックできる会社は限られているんですが、その会社名出さないとなぁ。大昔にサウンドハウスがカード情報漏洩やった際にLACに依頼してたけど、あそこはクレジットカード会社の認めるフォレンジック認定取ってないのよね。
Re:保存する仕様だったとは限らない (スコア:1)
> クレジットカード会社の認めるフォレンジック認定
まあ、日本がサービスエリアになってるのは6社、日本に拠点があるのは2社しかないからね。
https://www.pcisecuritystandards.org/assessors_and_solutions/pci_foren... [pcisecuritystandards.org]
Re: (スコア:0)
つまり、「カード名義人が漏れたのか理解に苦しむところではある」
なら100点?
Re: (スコア:0)
コンテンツセキュリティポリシーヘッダー1個追加するだけで
改竄されても外部に送信されることは防げるのになぁ。
改竄されるくらいならサーバー設定も変えられてしまうか。
最初に思いついたのがこれ (スコア:1)
部下「ECサイトが不正アクセスを受けました」
ヨミ「ふぁっ!?」
Re:最初に思いついたのがこれ (スコア:2)
狂ったコンピュータが紙テープ吐き出しそう。
Re:最初に思いついたのがこれ (スコア:1)
その暗証番号は「101」。
セキュリティコードが無いと (スコア:0)
>とあるが、なぜセキュリティコードが保存されているのか理解に苦しむところではある。
アクワイアラによっては初回にセキュリティコード+3Dセキュア通しても、カード情報(トークンナイズ済み含む)を保管した決済が不正利用と販売された場合はチャージバックが発生する事があるので
改正割販法施行以前は、チャージバックを嫌がり(規約違反と知りつつor理解せず)セキュリティコード含む生カード情報全てを保存してしまうというケースはさして珍しくもありませんでした
改正割販法施行後は理屈的には無いはずですが、PCIDSS取ってる所でもまぁそこは・・・
Re: (スコア:0)
この手の問題はサイトが改竄されて犯人に入力情報が転送されている。
必要なのは改ざん検知の導入なんだけど運営者には分かってもらえないのだ。
Re: (スコア:0)
セキュリティコード含む生カード情報全てを保存してしまうというケースはさして珍しくもありませんでした
日本郵政「えっ?」
https://www.post.japanpost.jp/service/you_pack/sumahowari/ [japanpost.jp]
過去形でなく現在進行形でカード登録時にセキュリティコード入力が必須。
Re:セキュリティコードが無いと (スコア:2)
「入力が必要」と「保存している」は全然レベルが違って、
カードの有効性確認のためオーソリ投げるためにセキュリティコードを入力させて、
その値は保存せずに捨ててしまえば、不正アクセスによって、保存していた
セキュリティコードが流出してしまうリスクは潰せる。
(画面を改竄されて、利用者の入力したセキュリティコードを横流しされるリスクは残る)
Re: (スコア:0)
セキュリティコードって技術的なセキュリティじゃなくて「契約で守らせること」で保つセキュリティなので
契約内容が理解できてない店舗のみならず、守る意志が全くない攻撃者にとってはほとんど効果がないんだよな。
経路も分けた多要素認証の時代に、こんな時代遅れの「なんちゃってセキュリティ」は廃止すべきだと思う。
なぜセキュリティコードが保存されていたと思ったのか理解に苦しむところではある (スコア:0)
セキュリティコードを保存してなくても漏れるときは漏れる。
Re: (スコア:0)
ツッコもうとしたらすでに大量にツッコまれてた。タレコミ氏の認識はちょっと時代遅れが過ぎるよな
Re: (スコア:0)
個人的な認識ではJINSの事件で「セキュリティコードが流出しても保存していたとは限らない」という事実が確認できたと思うけど、その事件から8年経過してるからね
その間に同じような事件はいっぱいあったし、「なぜ保存してるんだ」と考える程度の知識は持っているのに情報が古すぎる
カードの番号を入力するだけで購入できる方がおかしい (スコア:0)
なんで実店舗ではICチップとか非接触認証に移行してるのに、オンラインではカードに書いてある番号を入力するだけで購入できるんだ。
せめてカード番号の入力で購入するときは承認リンクがSMSかなんかで飛んでくる仕組みを設けるべき。
Re:カードの番号を入力するだけで購入できる方がおかしい (スコア:1)
VISAはそうだけど、今までに無い購買パターンを発見すると一旦不承認にして、SMSに承認用リンクが飛んでくる。
それの拡大版みたいな物だろうか。
加えて、サイトによっては3D認証が付く。
Re: (スコア:0)
もうオンラインでのカード決済は3D必須にすりゃいいのに……
Re:カードの番号を入力するだけで購入できる方がおかしい (スコア:1)
ただ、3Dセキュアも
・URLの見える標準のブラウザで開かせる
・ドメインパートはカード会社のものとする
ってところを義務付けないと弱いと思うんだけどね。
アプリ内のブラウザで開いたらログイン画面ごと偽装されてても気付かないし、
アプリでパスワードとか横取りされてても気付かないし、
あと通常のブラウザでもわざわざURL非表示で開くので詐欺サイトと区別できないし、
ドメインはだいたいNTTデータのものだけどカード会社は「NTTデータに委託している」って
公表していないので信用していいのか?って悩む。
Re: (スコア:0)
おうamazonに言ってやれ。
3Dセキュア2.0が導入されてフリクションレスフローで毎回パスワード入力する手間が減った(完全になくなったとは言っていない)ので強制的に対応させるべき案件なんだけどね。
ただ加盟店の腰が重くてなかなか進まない。
Re:カードの番号を入力するだけで購入できる方がおかしい (スコア:1)
むしろ、うっわ認証とかめんどくせこんな店で決済すんのやめとこ、と思われて客に逃げられるのが多い。
Re:カードの番号を入力するだけで購入できる方がおかしい (スコア:2)
そうだろうなぁと思える
選択式にしてめんどい方使ったらちょっとカード手数料減るとかどうかなぁ…
Re:カードの番号を入力するだけで購入できる方がおかしい (スコア:1)
順番が逆でもいいのかもしれない、たとえばクレジットカードの会員サイトで
「これから10分間だけカードをインターネットで利用可能」の操作をしてから使う
していないときは常時ブロックされる、とか
# アンチウィルスを無効にするときみたいだ……
Re:カードの番号を入力するだけで購入できる方がおかしい (スコア:1)
店舗が契約してるのはアクワイアラ、カードホルダの電話番号を知ってるのはイシュア、間をつないでるのはブランドなのでそう簡単じゃない。
3DSecure 普及にVISAがどんだけ苦労してるか。
Re: (スコア:0)
いまのクレカは、承認するか承認しないかの2つしか無い
承認保留みたいなステータスを作って、オペレータが電話で確認orSMSやeメール等で確認、
みたいなのがあればいいのに
Re: (スコア:0)
それはそれで面倒だと言われて顧客逸走になるぞ。
セキュリティと利便性は紙一重。
Re: (スコア:0)
トレードオフといいたかったのだろうか
Re: (スコア:0)
すごいのはあなたの読解力では?
Re: (スコア:0)
そもそも元コメント読まずにコメントしている節がありますね~w
「きっとXXXと言っているに違いない」的に脳内生成したコメントに対してコメントしている感じする。
Re: (スコア:0)
学力が無いと「文脈を読む」ことと「都合よく捏造する」ことの区別が付かないことがある
その実例だろうね
クレジットが組めなくなる。 (スコア:0)
会社として組めなくなると傾くかもしれませんね
誰も言わないけど (スコア:0)
ザルの非保持化を推進したカード事業者の責任でしょ。
Re:誰も言わないけど (スコア:1)
>しかし結果的に三ヶ月も経過してから公表するとは、非常に不誠実な姿勢ではないだろうか?
これも知らない人多いけど、発表のタイミングはカード事業者が決めてるんだよ。
いきなり発表されるとカード事業者への問い合わせがパンクするから。
漏洩事件のストックがあって、毎月何件か小出しに発表してる。
Re:誰も言わないけど (スコア:1)
そもそもマーチャントのシステムにカード番号を入力してるのだから、これは非保持化できてない案件では?
カード番号が通過するだけでもだめなはず。
Re: (スコア:0)
ec事業者のサーバーを通らず、ブラウザから決済代行業者のサーバーに直接送信するから非通過で安全!という理屈だ。
ちょっと考えればjavascriptで抜けるの判るよね。
Re: (スコア:0)
非保持化、ザルだったかなあ。
他にいいアイデアが無いんだからしゃーない気もするが。