パスワードを忘れた? アカウント作成
15502154 story
情報漏洩

EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 74

ストーリー by nagazou
発表までに間があるような 部門より

グラウンドワークスは11月30日、同社が運営する「EVANGELION STORE」で、第三者による不正アクセスにより、利用者のクレジットカード情報1万7828件が流出した可能性があると発表した。同サイトはアニメ作品「エヴァンゲリオン」シリーズのグッズなどを扱う公式ストアとなっている(弊社株式会社グラウンドワークスが運営する「EVANGELION STORE(オンライン)」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせITmedia)。

流出は7月12日に一部のクレジットカード会社からの連絡で発覚、同日カード決済を停止した。第三者調査機関による調査が行われ、9月29日に一部のお客様のクレジットカード情報が不正利用された可能性があることが確認できたとしている。漏洩した可能性のある情報は以下の通りとなっている。

  • カード名義人名
  • クレジットカード番号
  • 有効期限
  • セキュリティコード
  • ログオンID(EVANGELION STORE(オンライン)会員用メールアドレス)
  • パスワード(EVANGELION STORE(オンライン)会員用)
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by hinatan (24342) on 2021年12月02日 14時37分 (#4162379)

    なんとかしなさいよ!

  • ソースにあるストア側の発表によると

    クレジットカード情報や、パスワードなどの情報をEVANGELION STOREで保有していたのか?
            本来、弊社サイトではお客様のクレジットカード情報、パスワードなどのは保持しておりません。 今回の不正アクセスにより、弊社サイト内に、クレジットカード決済が実施される際に カード会員情報および認証情報を収集するための不正な悪性ファイルおよび悪性 コードを設置されたため、第三者へお客様の個人情報が流出した可能性がある、との調査機関より報告を受けております。

    とのこと、つまり保管していたデータの流出でなく、決済時の処理中のデータを直接抜かれたみたい。

  • by Anonymous Coward on 2021年12月02日 15時29分 (#4162435)

    何度でも書く。改ざん検知を導入せよ。
    この手のシステム改竄にやられるとカード番号保管しなくても抜き取られてしまう。

    • by Anonymous Coward

      改ざん検知はお安く効果が高い対策だと思うんだけどなぁ。ディレクトリ監視してイレギュラーな更新掛かったらアラート挙げて戻すというのは既存ツールでできる範囲。

      • by Anonymous Coward

        サーバーに侵入してプログラムを改ざんして情報抜き出せるレベルなら改ざん検知ツールも改ざんしませんかね?

        • by Anonymous Coward

          侵入の方法や改ざん検知ツールの種類にもよるとは思いますが、プログラムの改ざん、つまりWebサーバの公開ディレクトリ内にあるファイルを上書きできるレベルでは、外部に置かれた改ざん検知ツールまでは改ざんできないでしょう。

        • by Anonymous Coward

          ローカルアカウント作られたりroot取られてwatch dogプロセスkillされてログも改ざんされてってレベルならともかく、Webサーバ上のコンテンツ改ざんだけなら検知ツールで止められるでしょ

  • by Anonymous Coward on 2021年12月02日 14時46分 (#4162387)

    「第三者調査機関」も、なんかエヴァっぽいよな。

    • by Anonymous Coward

      実在しない調査機関なんですね。

      #ダメじゃん。

  • by Anonymous Coward on 2021年12月02日 14時55分 (#4162397)

    > 弊社は、システム上クレジットカード情報は一切保持しておりませんが、第三者によるプログラム改ざんが行われたため、
    > 以下の情報を不正に取得された可能性があると指摘されております。

    へー。

    • by Anonymous Coward

      逃げちゃだめだ。

    • by Anonymous Coward

      Wayback Machineに保存されてる、今年6月14日のサイトトップページにある支払い方法の説明によると、
      https://web.archive.org/web/20210615041140/https://www.evastore.jp/ [archive.org]

      お支払い方法
      当店では、クレジットカード、コンビニ支払い(前払い)、GMO後払いを利用いただけます。
      もしくは
      Amazon Pay

      サイトはソースコードからしてEC-CUBE使ってた模様。

  • by Anonymous Coward on 2021年12月02日 15時02分 (#4162407)

    wwwww

    • by Anonymous Coward
      サイトを書き換えられて情報を取られるケースは既に流行っているので、笑っている場合ではありません。
  • by Anonymous Coward on 2021年12月02日 15時12分 (#4162420)

    使徒浸入とか、言えばいいのに

  • by Anonymous Coward on 2021年12月02日 15時27分 (#4162433)

    いずれ公的機関から「インターネットでの決済にはクレジットカードを利用しないようにしましょう」って注意喚起されるようになるよ。

  • by Anonymous Coward on 2021年12月02日 15時56分 (#4162463)

    こういう中小のセキュリティしっかりしてなさそうな小さなショップだと
    リスクが高いのでクレカ情報を入れるのは控えた方がいい。
    代わりに、Revolutなどで、1回きりのクレカ番号で買い物をした方が安全。
    注意点とすれば、入力後に認証でいくらか請求されると次からその番号が使えなくなるので
    やり直し、というか使えない。

    • by caret (47533) on 2021年12月02日 16時01分 (#4162466) 日記

      PayPal に対応していれば迷わず PayPal 経由で支払っています。カード情報を保存しているのは本当に信頼できるサイトだけ。
      Revolut は本当にいいですよね。昨年の 7 月にアカウントを開設してから、外国通貨での決済は必ず Revolut で支払っています。平日なら為替手数料無料というのは本当にうれしい。

      親コメント
    • by nim (10479) on 2021年12月02日 19時01分 (#4162609)

      LINE PAY のプリペイドカードで購入金額程度をチャージして使うという風にしてる。
      被害上限額を押さえられるので便利。

      親コメント
    • by Anonymous Coward

      そんなところは使わないのが一番よ

  • by Anonymous Coward on 2021年12月02日 21時23分 (#4162694)

    ザルの非保持を推進したカード会社にある

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...