パスワードを忘れた? アカウント作成
15349636 story
お金

読売新聞子会社でクレジットカードの情報漏洩が発生 50

ストーリー by nagazou
被害がかなり出ちゃってるのがな 部門より
読売情報開発大阪は14日、同社のECサイト「よみファネット」が不正アクセスを受けたと発表した。同社は読売新聞系列の企業。これにより1301人分のクレジットカード情報が流出した可能性が高く、なおかつ少なくとも58人分のカード情報が不正利用された。6月末の段階で被害も計767万4605円分が確認されているという。流出確認が判明した段階でよみファネットは閉鎖したとしている(読売ファミリーITmedia東京新聞)。

流出した可能性が高い情報は、2020年10月24日から2021年3月2日までの期間に同サイト上にカード情報を入力した利用者。発表によれば、カード名義人、カード番号、有効期限、セキュリティコードが流出したとされる。2021年3月2日に決済代行事業者からの指摘うけたところ不正アクセスを受けていたことが4月13日に確定したという。

あるAnonymous Coward 曰く、

とあるが、なぜセキュリティコードが保存されているのか理解に苦しむところではある。

読売情報開発大阪は発表が遅れた理由について、漏えいした可能性のある件数を特定するのに時間がかかっていたと説明。

第一報において、漏洩した可能性の件数など分かっている必要はなく、不審な請求がないか注意喚起することはできたはずだ。しかし結果的に三ヶ月も経過してから公表するとは、非常に不誠実な姿勢ではないだろうか?

  • by 90 (35300) on 2021年07月15日 17時23分 (#4071645) 日記

    意外と知らない人が多いのかな。保存が禁止されているCVVが流出するのは保存されていたからだ、CVVを保存するのはおかしい、と指摘する人はしばしばいますが、この手の流出はサーバに入られて入力内容を外部送信するよう決済ページを改竄されることで起きます。なので元からCVVを保存する仕様だったかどうかとか、データベースに何が保管されていたかは必ずしも関係ないです。

    極端な話、必要な情報が抜けているなら攻撃者側で入力欄を書き加えてあげればいいわけですから。

    ここに返信
    • by Anonymous Coward on 2021年07月15日 18時00分 (#4071675)

      被害にあった会社も、ただ「不正アクセスを受け情報が流出した」(これ以上は、言えません)としか発表するのではなく、
      もう少し説明をすれば余計な憶測をされなくて済むし、結果としては自分達への余計な(余分な?)批判も防げるのに。

      • 過去の手口を知っていれば容易に想像がつきます。どの程度まで容易に想像がつくように書くかは自由でしょう。プレスを読んで勝手に批評する人の意見を誘導するところまでは、書く人の責任ではないかなと思います。

      • 本当に「これ以上は、言えません」っていう凄いレベルってことでしょ。

        つまり、やられたことも理解できず、侵入や改ざんがどうやって実施
        されたのかも、他組織からの指摘後でもわかってない事はよくある。

        #30歳を超えたので魔法使いになれるかな?

      • by Anonymous Coward

        半可通の戯言なんて恥かかせておけばいいんですよ。

        • by Anonymous Coward

          ネットで一番面白いのはこういう匿名の無様
          これに尽きる

          • by Anonymous Coward

            うん、痛いところを突かれたんだね。

            • by Anonymous Coward

              またアホは恥かくほど必死に上塗りするからな、コメも伸びる

              • by Anonymous Coward

                Unicode にルーン文字があってよかったね、ぼく。
                で、どちらを追い出されて、ここに来たんですか ?
                この書き込みって、貴方の独自研究じゃなくて、コピペですよね。

              • by Anonymous Coward

                マイナスモデ済みのコピペに反応するアホwww

      • by Anonymous Coward

        「もう少し説明を」しようと思ったらもっともっと発表が遅れていると思うよ。

      • by Anonymous Coward

        そもそも憶測だけで批判することが愚かなことです

        「今後の対策をどうするか」というタイミングで不正アクセスの詳細も発表したほうがよいと思いますが、「発生の事実」の発表においては経緯はあまり関係なく、結果さえ分かれば問題ありません
        そういった詳細な調査を行えば、ほかのコメントで指摘されている通り発表がさらに遅れるでしょう

        発表はより迅速な方がいいはずですが、こういう無駄な批判のせいで企業側もある程度情報がまとまるまで発表しない方がよい、と判断してしまうことにもつながりかねないので、むしろそういう余計な憶測をする人たちを批判すべきです

    • by Anonymous Coward

      読売ファミリー.comの発表文から想像すると、JINSと同じ [security.srad.jp]でサーバー書き換えられて、入力したフォーム内容をそのまま第三者サーバーに送ったんじゃないかな?

      そう考えると改ざん日からが盗まれた可能性のある取引になるし、CVVとか全部ぶっこ抜きされたのもよくわかる。一方、JINSでこういう手口があったんだとわかっているんで改ざんされないようなシステムにしておくべきだったんだろうなぁ。

      一方、カード番号漏洩事例なのでフォレンジックできる会社は限られているんですが、その会社名出さないとなぁ。大昔にサウンドハウスがカード情報漏洩やった際にLACに依頼してたけど、あそこはクレジットカード会社の認めるフォレンジック認定取ってないのよね。

    • by Anonymous Coward

      つまり、「カード名義人が漏れたのか理解に苦しむところではある」
      なら100点?

    • by Anonymous Coward

      コンテンツセキュリティポリシーヘッダー1個追加するだけで
      改竄されても外部に送信されることは防げるのになぁ。

      改竄されるくらいならサーバー設定も変えられてしまうか。

  • by Anonymous Coward on 2021年07月15日 18時41分 (#4071708)

    部下「ECサイトが不正アクセスを受けました」
    ヨミ「ふぁっ!?」

    ここに返信
  • by Anonymous Coward on 2021年07月15日 17時16分 (#4071640)

    >とあるが、なぜセキュリティコードが保存されているのか理解に苦しむところではある。
    アクワイアラによっては初回にセキュリティコード+3Dセキュア通しても、カード情報(トークンナイズ済み含む)を保管した決済が不正利用と販売された場合はチャージバックが発生する事があるので
    改正割販法施行以前は、チャージバックを嫌がり(規約違反と知りつつor理解せず)セキュリティコード含む生カード情報全てを保存してしまうというケースはさして珍しくもありませんでした
    改正割販法施行後は理屈的には無いはずですが、PCIDSS取ってる所でもまぁそこは・・・

    ここに返信
    • by Anonymous Coward

      この手の問題はサイトが改竄されて犯人に入力情報が転送されている。
      必要なのは改ざん検知の導入なんだけど運営者には分かってもらえないのだ。

    • by Anonymous Coward

      セキュリティコード含む生カード情報全てを保存してしまうというケースはさして珍しくもありませんでした

      日本郵政「えっ?」
      https://www.post.japanpost.jp/service/you_pack/sumahowari/ [japanpost.jp]
      過去形でなく現在進行形でカード登録時にセキュリティコード入力が必須。

      • 「入力が必要」と「保存している」は全然レベルが違って、
        カードの有効性確認のためオーソリ投げるためにセキュリティコードを入力させて、
        その値は保存せずに捨ててしまえば、不正アクセスによって、保存していた
        セキュリティコードが流出してしまうリスクは潰せる。

        (画面を改竄されて、利用者の入力したセキュリティコードを横流しされるリスクは残る)

    • by Anonymous Coward

      セキュリティコードって技術的なセキュリティじゃなくて「契約で守らせること」で保つセキュリティなので
      契約内容が理解できてない店舗のみならず、守る意志が全くない攻撃者にとってはほとんど効果がないんだよな。

      経路も分けた多要素認証の時代に、こんな時代遅れの「なんちゃってセキュリティ」は廃止すべきだと思う。

  • 関連リンク: 聖教新聞社のECサイトが改ざんされる。カード情報を盗む偽の決済画面が設置される

    昨今ではセキュリティ対策としてカード情報を保持しないことが一部で推奨されているが、こういった「偽の決済画面」を使った手法ではカード情報を保持しなくとも攻撃によって情報漏洩が発生してしまう

    セキュリティコードを保存してなくても漏れるときは漏れる。

    ここに返信
    • by Anonymous Coward

      ツッコもうとしたらすでに大量にツッコまれてた。タレコミ氏の認識はちょっと時代遅れが過ぎるよな

      • by Anonymous Coward

        個人的な認識ではJINSの事件で「セキュリティコードが流出しても保存していたとは限らない」という事実が確認できたと思うけど、その事件から8年経過してるからね
        その間に同じような事件はいっぱいあったし、「なぜ保存してるんだ」と考える程度の知識は持っているのに情報が古すぎる

  • なんで実店舗ではICチップとか非接触認証に移行してるのに、オンラインではカードに書いてある番号を入力するだけで購入できるんだ。
    せめてカード番号の入力で購入するときは承認リンクがSMSかなんかで飛んでくる仕組みを設けるべき。

    ここに返信
  • by Anonymous Coward on 2021年07月15日 21時36分 (#4071834)

    会社として組めなくなると傾くかもしれませんね

    ここに返信
  • by Anonymous Coward on 2021年07月15日 22時06分 (#4071853)

    ザルの非保持化を推進したカード事業者の責任でしょ。

    ここに返信
    • by Anonymous Coward on 2021年07月15日 22時11分 (#4071856)

      >しかし結果的に三ヶ月も経過してから公表するとは、非常に不誠実な姿勢ではないだろうか?

      これも知らない人多いけど、発表のタイミングはカード事業者が決めてるんだよ。
      いきなり発表されるとカード事業者への問い合わせがパンクするから。
      漏洩事件のストックがあって、毎月何件か小出しに発表してる。

    • by nim (10479) on 2021年07月16日 8時57分 (#4072031)

      そもそもマーチャントのシステムにカード番号を入力してるのだから、これは非保持化できてない案件では?

      カード番号が通過するだけでもだめなはず。

      • by Anonymous Coward

        ec事業者のサーバーを通らず、ブラウザから決済代行業者のサーバーに直接送信するから非通過で安全!という理屈だ。
        ちょっと考えればjavascriptで抜けるの判るよね。

    • by Anonymous Coward

      非保持化、ザルだったかなあ。
      他にいいアイデアが無いんだからしゃーない気もするが。

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...