EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性

EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 74

ストーリー by nagazou 2021年12月02日 14時32分
発表までに間があるような部門より

グラウンドワークスは11月30日、同社が運営する「EVANGELION STORE」で、第三者による不正アクセスにより、利用者のクレジットカード情報1万7828件が流出した可能性があると発表した。同サイトはアニメ作品「エヴァンゲリオン」シリーズのグッズなどを扱う公式ストアとなっている（弊社株式会社グラウンドワークスが運営する「EVANGELION STORE(オンライン)」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ、ITmedia）。

流出は7月12日に一部のクレジットカード会社からの連絡で発覚、同日カード決済を停止した。第三者調査機関による調査が行われ、9月29日に一部のお客様のクレジットカード情報が不正利用された可能性があることが確認できたとしている。漏洩した可能性のある情報は以下の通りとなっている。

カード名義人名
クレジットカード番号
有効期限
セキュリティコード
ログオンID（EVANGELION STORE(オンライン)会員用メールアドレス）
パスワード（EVANGELION STORE(オンライン)会員用）

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索74コメント Log In/Create an Account

使途不明 (スコア:2)

by hinatan (24342) on 2021年12月02日 14時37分 (#4162379) 日記

なんとかしなさいよ！
- - Re:使途不明 (スコア:2, 参考になる)
    
    by Anonymous Coward on 2021年12月02日 14時54分 (#4162395)
    
    脊髄反射はやめましょうね。
    >同社に確認したところ「同ECサイトでは、顧客のカード情報は保持していなかった」としており、原因はサイトの改ざんという。
    >「不正アクセスにより、カード決済時に会員情報と認証情報を収集するための悪性ファイルとコードが（ECサイトのペイメントアプリケーションに）設置されたため、第三者にカード情報が漏えいした可能性がある」と説明する。
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      認証画面はもうカード会社に用意してもらったものしか使えなくしたほうが良いんじゃないか…
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      脊髄反射はやめましょうね。
      サイト内のコードを書き換えられてたとかもっと最悪やんけ！！
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      もうこの手のニュースのお約束パターンになってるな
      # 今回もあるかなと見に来てみればやっぱりあるという。期待を裏切らないな！
  - Re:使途不明 (スコア:1)
    
    by Anonymous Coward on 2021年12月02日 15時04分 (#4162410)
    
    設計上保持してない。
    プログラム改竄されたので、カード番号を入力するフォームからカード会社に渡す前に盗むようにされたと思われる。
    この手の改ざん問題、潔くトークン型決済諦めて、リダイレクト型にしないと解決しなさそう。
    エンドユーザーに選ばせてくれたら良いのだけど。
    Q.流出した可能性がある情報は何ですか？
    弊社は、システム上クレジットカード情報は一切保持しておりませんが、第三者によるプログラム改ざんが行われたため、以下の情報を不正に取得された可能性があると指摘されております。
    ・「クレジットカード名義人」
    ・「クレジットカード番号」
    ・「有効期限」
    ・「セキュリティコード」
    ・ログオンID（EVANGELION STORE(オンライン)会員用メールアドレス）
    ・パスワード（EVANGELION STORE(オンライン)会員用）
    引用元 : https://www.evastore.jp/ [evastore.jp]
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      情報ぬかれるより、もっとスッポスポだったという訳だな。
  - 今はセキュリティコード漏洩が普通 (スコア:0)
    
    by Anonymous Coward
    
    セキュリティ専門家の徳丸氏の最近のコメントどうぞ。
    セキュリティコードの漏洩は数年前からむしろ普通です。パスワードの漏洩が最近の傾向ですね [twitter.com]
    
    @stachyon お気持ちはわかりますが、クレジットカードを使うのであれば、むしろカード情報は保存した方が漏洩しにくいですよ。今どき、カード情報が盗まれるのは保存データではなく、入力画面からなので、入力頻度が低い方が盗まれにくいです [twitter.com]
クレジットカード情報、パスワードを保管してたわけではない (スコア:1)

by Anonymous Coward on 2021年12月02日 15時03分 (#4162408)

ソースにあるストア側の発表によると
クレジットカード情報や、パスワードなどの情報をEVANGELION STOREで保有していたのか？
本来、弊社サイトではお客様のクレジットカード情報、パスワードなどのは保持しておりません。今回の不正アクセスにより、弊社サイト内に、クレジットカード決済が実施される際にカード会員情報および認証情報を収集するための不正な悪性ファイルおよび悪性コードを設置されたため、第三者へお客様の個人情報が流出した可能性がある、との調査機関より報告を受けております。
とのこと、つまり保管していたデータの流出でなく、決済時の処理中のデータを直接抜かれたみたい。
- Re:クレジットカード情報、パスワードを保管してたわけではない (スコア:1)
  
  by Anonymous Coward on 2021年12月02日 15時17分 (#4162422)
  
  これ、たれこみ文に書いて欲しかったね。
  リンク先読まずに脊髄反射する人多すぎ。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    というかスラド民ならリンク先を読まずとも処理中のデータを抜かれたのだと察して欲しかったな。過去のストーリーでも散々同じこと言われてるんだし。
改ざん検知を導入せよ (スコア:1)

by Anonymous Coward on 2021年12月02日 15時29分 (#4162435)

何度でも書く。改ざん検知を導入せよ。
この手のシステム改竄にやられるとカード番号保管しなくても抜き取られてしまう。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  改ざん検知はお安く効果が高い対策だと思うんだけどなぁ。ディレクトリ監視してイレギュラーな更新掛かったらアラート挙げて戻すというのは既存ツールでできる範囲。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    サーバーに侵入してプログラムを改ざんして情報抜き出せるレベルなら改ざん検知ツールも改ざんしませんかね？
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      侵入の方法や改ざん検知ツールの種類にもよるとは思いますが、プログラムの改ざん、つまりWebサーバの公開ディレクトリ内にあるファイルを上書きできるレベルでは、外部に置かれた改ざん検知ツールまでは改ざんできないでしょう。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      ローカルアカウント作られたりroot取られてwatch dogプロセスkillされてログも改ざんされてってレベルならともかく、Webサーバ上のコンテンツ改ざんだけなら検知ツールで止められるでしょ
  - - Re:改ざん検知を導入せよ (スコア:1)
      
      by Anonymous Coward on 2021年12月04日 8時37分 (#4163596)
      
      技術的対策としてはそうだろうけど、それらをやっていない時点で、別の問題があるわけで・・・。
      ガバナンス上の問題の真因は、以下の通りであると考えている。
      (1)システムに係るリスクと専門性の軽視
      (2)IT現場の実態軽視
      (3)顧客影響に対する感度の欠如、営業現場の実態軽視
      (4)言うべきことを言わない、言われたことだけしかしない姿勢
      
      シェア
      
      親コメント
おもしろい (スコア:0)

by Anonymous Coward on 2021年12月02日 14時46分 (#4162387)

「第三者調査機関」も、なんかエヴァっぽいよな。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  実在しない調査機関なんですね。
  #ダメじゃん。
FAQのところに書いてあったこと (スコア:0)

by Anonymous Coward on 2021年12月02日 14時55分 (#4162397)

> 弊社は、システム上クレジットカード情報は一切保持しておりませんが、第三者によるプログラム改ざんが行われたため、
> 以下の情報を不正に取得された可能性があると指摘されております。
へー。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  逃げちゃだめだ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  Wayback Machineに保存されてる、今年6月14日のサイトトップページにある支払い方法の説明によると、
  https://web.archive.org/web/20210615041140/https://www.evastore.jp/ [archive.org]
  お支払い方法
  当店では、クレジットカード、コンビニ支払い（前払い）、GMO後払いを利用いただけます。
  もしくは
  Amazon Pay
  サイトはソースコードからしてEC-CUBE使ってた模様。
今度から、書き換えられたが流行る予感 (スコア:0)

by Anonymous Coward on 2021年12月02日 15時02分 (#4162407)

ｗｗｗｗｗ
- Re: (スコア:0)
  
  by Anonymous Coward
  
  サイトを書き換えられて情報を取られるケースは既に流行っているので、笑っている場合ではありません。
どうせなら (スコア:0)

by Anonymous Coward on 2021年12月02日 15時12分 (#4162420)

使徒浸入とか、言えばいいのに
- - Re:どうせなら (スコア:1)
    
    by nekopon (1483) on 2021年12月03日 9時04分 (#4162856) 日記
    
    第18使途じゃん(言っとけ
    
    シェア
    
    親コメント
    - Re:どうせなら (スコア:1)
      
      by nekopon (1483) on 2021年12月03日 9時05分 (#4162859) 日記
      
      s/使途/使徒/ (すみません)
      
      シェア
      
      親コメント
クレカよりなんちゃらPayの方が安全 (スコア:0)

by Anonymous Coward on 2021年12月02日 15時27分 (#4162433)

いずれ公的機関から「インターネットでの決済にはクレジットカードを利用しないようにしましょう」って注意喚起されるようになるよ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  その為にはまず世界共通のなんちゃらPayを作ってもらわないと困る。
  - Re: クレカよりなんちゃらPayの方が安全 (スコア:1)
    
    by nekopon (1483) on 2021年12月02日 15時45分 (#4162451) 日記
    
    それもリダイレクトされたらNGなのでは
    // ということで請求書払いをですね
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    それでは世界共通で使えるこの支払い番号を入力してくださいね。
    あれ?
- Re: (スコア:0)
  
  by Anonymous Coward
  
  現金書留「当たり前やがな」
  - Re:クレカよりなんちゃらPayの方が安全 (スコア:1)
    
    by nekopon (1483) on 2021年12月02日 17時15分 (#4162543) 日記
    
    郵便為替「あのう」
    
    シェア
    
    親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  そうなるといいですねー
  今でもなんちゃらPayなんて使ってるのは何とか経済圏に漬かってる奴かクレカ持てない奴くらいだろ
- Re: (スコア:0)
  
  by Anonymous Coward
  
  だろうな。この時代に暗記力あれば誰でも不正利用できるクレカが使えるのはおかしいよ。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    3dセキュア設定すれば番号覚えて不正利用ってのはできなくなるけどね
- Re: (スコア:0)
  
  by Anonymous Coward
  
  クレカは補償があるから大丈夫
中小零細 (スコア:0)

by Anonymous Coward on 2021年12月02日 15時56分 (#4162463)

こういう中小のセキュリティしっかりしてなさそうな小さなショップだと
リスクが高いのでクレカ情報を入れるのは控えた方がいい。
代わりに、Revolutなどで、１回きりのクレカ番号で買い物をした方が安全。
注意点とすれば、入力後に認証でいくらか請求されると次からその番号が使えなくなるので
やり直し、というか使えない。
- Re:中小零細 (スコア:1)
  
  by caret (47533) on 2021年12月02日 16時01分 (#4162466) 日記
  
  PayPal に対応していれば迷わず PayPal 経由で支払っています。カード情報を保存しているのは本当に信頼できるサイトだけ。
  Revolut は本当にいいですよね。昨年の 7 月にアカウントを開設してから、外国通貨での決済は必ず Revolut で支払っています。平日なら為替手数料無料というのは本当にうれしい。
  
  シェア
  
  親コメント
- Re:中小零細 (スコア:1)
  
  by nim (10479) on 2021年12月02日 19時01分 (#4162609)
  
  LINE PAY のプリペイドカードで購入金額程度をチャージして使うという風にしてる。
  被害上限額を押さえられるので便利。
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  そんなところは使わないのが一番よ
問題の本質は (スコア:0)

by Anonymous Coward on 2021年12月02日 21時23分 (#4162694)

ザルの非保持を推進したカード会社にある
- Re:問題の本質は (スコア:1)
  
  by nekopon (1483) on 2021年12月03日 9時07分 (#4162862) 日記
  
  たしかに今どきはどこの田舎の八百屋さんでもレジくらいありますが……ってそのザルじゃないのかしら
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ソース読めば分かるけどセキュリティコードを保存していたわけではなく入力をリアルタイムで抜き取られた……ってこのやり取り何回やれば気が済むんかな。もういい加減こういう脊髄反射コメントやめようよ。
  - Re:これはあかんやつ (スコア:1)
    
    by Anonymous Coward on 2021年12月02日 16時17分 (#4162488)
    
    なら編集者にもっと仕事しろって言っとけ。
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      人のせいにすることばかり立派になって
      お母さんは泣いてるぞ
- 実際保存してるところが結構ある (スコア:0)
  
  by Anonymous Coward
  
  数年前に大手ベンダーの人と話したんだけど、
  「ダメはなずなのにセキュリティコード結構保存してるとこ多いですよね」
  と聞いたら
  「うーん、かなりやってますね・・駄目なんですけどね・・」
  と表情曇らせて答えてた。
  大手の有名どころは保存しないようになってきたけど
  小規模なECサイトなんかだと保存してしまうところが結構ある。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  件のストアがどういう仕組みを採用してたかは分からないけど、ストア側のサイトが改ざん可能という前提だと、
  > クレカ会社本体で決済させるか、きちんとクレカ会社が監視・認定してる決済業者に飛ばしてそっちで決済させる
  という方法ではいずれにしろ「飛ばす」部分を改ざんすることで情報詐取は可能。過去に実例もあったはず。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    3Dセキュアの導入も必須だな
    - Re:またセキュリティコード流出ｗ (スコア:1)
      
      by Anonymous Coward on 2021年12月02日 16時29分 (#4162504)
      
      3Dセキュアは、カードを物理的に拾ったり盗んだり盗み見たり、セキュリティコードの総当りで破られないための対策だから、今回のような漏洩の対策にはならない。プロキシ型フィッシングに多要素認証が対策にならないのと同じ理屈。
      
      シェア
      
      親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

使途 不明 (スコア:2)

Re:使途 不明 (スコア:2, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:使途 不明 (スコア:1)

Re: (スコア:0)

今はセキュリティコード漏洩が普通 (スコア:0)

クレジットカード情報、パスワードを保管してたわけではない (スコア:1)

Re:クレジットカード情報、パスワードを保管してたわけではない (スコア:1)

Re: (スコア:0)

改ざん検知を導入せよ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:改ざん検知を導入せよ (スコア:1)

おもしろい (スコア:0)

Re: (スコア:0)

FAQのところに書いてあったこと (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

今度から、書き換えられたが流行る予感 (スコア:0)

Re: (スコア:0)

どうせなら (スコア:0)

Re:どうせなら (スコア:1)

Re:どうせなら (スコア:1)

クレカよりなんちゃらPayの方が安全 (スコア:0)

Re: (スコア:0)

Re: クレカよりなんちゃらPayの方が安全 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re:クレカよりなんちゃらPayの方が安全 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

中小零細 (スコア:0)

Re:中小零細 (スコア:1)

Re:中小零細 (スコア:1)

Re: (スコア:0)

問題の本質は (スコア:0)

Re:問題の本質は (スコア:1)

Re: (スコア:0)

Re:これはあかんやつ (スコア:1)

Re: (スコア:0)

実際保存してるところが結構ある (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:またセキュリティコード流出ｗ (スコア:1)

使途不明 (スコア:2)

Re:使途不明 (スコア:2, 参考になる)

Re:使途不明 (スコア:1)