【サイト改竄】ネットショップで決済時だけ偽画面…カード流出に注意 正規画面でJavaScript仕込むタイプも
■ このスレッドは過去ログ倉庫に格納されています
ショッピングサイト決済時だけ偽画面 クレジット情報を盗む
2019年12月2日 5時38分IT・ネット
インターネットのショッピングサイトが改ざんされ、商品を購入しようとすると決済のときだけ偽の画面が表示され、クレジットカードの情報を盗まれる被害が相次いでいて、サイバーセキュリティー団体が注意を呼びかけています。
これは、去年半ばから被害が相次いでいる手口で、ショッピングサイトでクレジットカードを使って商品を購入しようとすると、決済のときだけ偽の画面が表示され、入力したカード情報などが盗まれます。
偽の画面で決済を終えようとするとエラーメッセージが出て、正しいサイトに戻り、もう一度試みると、今度は正常に決済できるということで、被害に遭ったことに気付きにくくなっています。
被害は東京の電子書籍販売会社や松山市のタオル販売会社など主に中小企業のサイトで起きています。
サイバーセキュリティー団体の「日本サイバー犯罪対策センター」によりますと、去年半ばからことし10月末までで、少なくともおよそ100の企業のサイトが改ざんされ、盗まれたカード情報は10万件に上るということです。
「日本サイバー犯罪対策センター」経済・金融犯罪対策チームの佐藤朝哉さんは「カード情報を盗まれても買い物ができているので被害に気付きにくいが、エラーメッセージが出るなどした場合、注意してほしい」と話しています。
https://www3.nhk.or.jp/news/html/20191202/k10012198271000.html
参考:
偽の画面で入力させるタイプ
https://1.bp.blogspot.com/-nzyom1G8Kds/XO87RWglC0I/AAAAAAAARxc/_jxuFi6t11YP-udIWEcrxfMVgeEDINh8QCLcBGAs/s1600/bunny-family-after.png
正規画面で入力されたフォームを送信するタイプ
https://1.bp.blogspot.com/-g1sgQzhcXqM/W8fRCW6QqxI/AAAAAAAAQGA/r82asZTddwghX_DU9m36nGpdDWpAkwxegCPcBGAYYCw/s1600/js-2-credit-card.png >>1
北朝鮮「Xマスプレゼント 何を選ぶかはアメリカ次第」
北朝鮮外務省は、非核化をめぐるアメリカとの協議について談話を発表し、
年末までに打開策を示すよう求めるとともに
「クリスマスのプレゼントに何を選ぶかは、すべてアメリカの決心にかかっている」
として、何らかの対抗措置をとる可能性を示唆し、けん制しました。
北朝鮮は、非核化をめぐるアメリカとの協議で、制裁の解除や米韓合同軍事演習の完全な中止など、
アメリカによる敵視政策の撤回を求めていて、年末までに協議の打開策を示すよう求めています。
こうした中、北朝鮮外務省でアメリカを担当するリ・テソン次官が3日午後、
国営の朝鮮中央通信を通じて談話を発表しました。
この中で「年末の期限が近づいていることをアメリカに再び思い出させたい。
われわれは、これまで最大の忍耐力を発揮してわれわれが先制的にとった重大な措置を破らないために
すべての努力をしてきた」として、北朝鮮が核実験やICBM=大陸間弾道ミサイルの発射実験を
中止していることを念頭に、アメリカに対する不満をあらわにしました。
そのうえで「いまや残っているのはアメリカの選択であり、近づいているクリスマスのプレゼントに
何を選ぶかは、すべてアメリカの決心にかかっている」として、打開策が示されなければ
何らかの対抗措置をとる可能性を示唆し、アメリカをけん制しました。
↑これってまんまノストラダムスの予言通りのシナリオだよな?
その大きな星は七日間燃える
巨大な黒雲が二つの太陽を現す
マスタンが夜通し吠え続ける
大祭司が居場所を変えるとき
(「百詩篇」第2巻41番より)
※大きな星=北朝鮮の国旗
ニつの太陽=日本と韓国の国旗
マスタン(mastin/獰猛な巨犬)=金正恩
大祭司=キリスト
この詩を要約すると、
1行目は北朝鮮が7日間に渡って空爆されると読める。
2行目は日本と韓国に核爆弾が落ちると読める。
3行目は金正恩が怒り狂うと読める。
そして4行目こそが、クリスマスを指すのであろう。
何故ならクリスマスとはキリストの降誕祭だからだ。
アメリカとの交渉期限を年末に定めた金正恩。
つまり年末までに動きが無ければ黙ってる訳には
いかない状況を自ら作ってしまったことになる。
おそらく年末ギリギリのクリスマスに長距離ミサイルを発射、
それにブチ切れたトランプが北朝鮮を攻撃、
というシナリオになるのではないか。 >>1
クロスサイトスクリプティングじゃねぇの?微妙なサイトは使うなって事やな 【経済】LINEの情報が韓国政府に筒抜けという報道。上場を前にLINEが大波乱 2014/06/22 【個人情報】
■LINEの個人情報はどに保管されているのか?
無料通話チャット・アプリLINEの情報が韓国政府に筒抜けになっているという報道が波紋を呼んでいる。LINEの森川社長はすぐに
全面否定のコメントを出したが、騒動はすぐには収まりそうもない。LINEは上場を前に大きな課題を抱えてしまった格好だ。
きっかけは、韓国の国家情報院(旧KCIA)が、LINEを傍受し、収拾したデータを欧州に保管、分析しているという月刊誌FACTAの記事。韓国政府のサイバーセキュリティ関係者が、日本の内閣情報セキュリティセンター(NISC)との協議の場で認めたという。
傍受の方法はシステムに直接侵入するのではなく、通信回線とサーバーの間でワイヤタッピングするというもので、韓国の国内法では
違法にならないという。記事では、LINEの日本人ユーザーの通話データなどが韓国政府に送られているとしている。
LINEの森川社長は、「LINEの通信は、国際基準を満たした最高レベルの暗号技術を使って通信されていますので、記事に書かれている
傍受は実行上不可能です」 と反論し、「看過できない記事」であるとしてFACTAに強く抗議している。
元CIA職員であるスノーデン氏の事件で明らかになったように、各国の情報機関が通信回線からデータを抜き取っていることはもはや常識である。
LINEは韓国企業ネイバーの子会社であり日本資本ではない。同社が韓国政府からの情報収集対象になっていないことの方がむしろ不自然なことである。
ネットでは、森川社長が「傍受は不可能」と言い切ってしまっていることから、逆にそれを不安視する声も上がっているようだ。 【安全保障】ヤフーとLINE統合へ…裏で何が起きていたのか? 鍵は韓国大統領と孫会談にあった 2019/11/14 【個人情報売買】
■統合には両社の台所事情も影響
両社の統合に経済合理性があるというのは、米国や中国のメガプラットフォーマーと対抗するという側面があるとともに、両社の台所事情も影響している。
特にSBGについては、孫氏が創成した10兆円の「ビジョン・ファンド」が投資するシェアオフィス大手・米ウィー・カンパニー(We Workを運営)が
新規株式公開(IPO)を延期したのを 境に市場ではビジョンファンドが投資する他のユニコーン企業群についても疑念が持たれはじめている。
直近の7〜9月期決算はビジョン・ファンドの巨額損失で「ぼろぼろ。真っ赤っかの大赤字」(孫社長)に転落した(最終損益は7001億円の赤字)。
一方、LINEも主力の対話アプリの成長が頭打ちとなり、新たな収益源の確保に迫られている。金融事業を含む戦略事業の営業損益は赤字で金融事業のテコ入れは待ったなしである。両社が接近するのは自然の流れと言える。
流れを決定付けたのは孫氏の韓国政府への接近
そして、その流れを決定付けたのが孫氏の韓国政府への接近だった。
経産省関係者は、「孫正義氏は7月上旬にソウルで文在寅大統領と会って握手している。韓国から金を引っ張るつもりだ」と明かしていた。
その席で何が話されたのか。ビジョン・ファンドへの協力とともに、LINEの親会社である韓国ネイバーへの働きかけがあったのではないか。 ブラウザがリダイレクトのたびにFQDN表示のポップアップ出すようにならんと防ぐの難しいな 去年から被害が出ているのに、
いまのタイミングで公開するのはどういうことなんだろう 【米中】米、中国の動画共有アプリ「Tik Tok」運営会社による米企業買収を調査 安全保障上の懸念 11/03 【スパイアプリ】
■中国共産党による買収を阻止 知的財産流出 軍事転用 個人情報流出
米、中国の動画共有アプリ「Tik Tok」運営会社による米企業買収を調査 安全保障上の懸念
2019/11/02
【ワシントン】ロイター通信は1日、中国の動画共有アプリ「Tik Tok(ティックトック)」の運営会社による米動画アプリ「ミュージカリー」の買収について、米国の対米外国投資委員会(CFIUS)が調査を始めたと報じた。
買収により米安全保障上の脅威が生じていないか調べるという。
ティックトックを運営する北京字節跳動科技(バイトダンス・テクノロジー)は2017年、ミュージカリーを約10億ドル(約1080億円)で買収した。
ティックトックは米国でも若者を中心に人気だが、米議会で最近、アプリを通じたデータ流出や、投稿内容が中国当局に検閲されているとの疑念が浮上。ルビオ上院議員は先月、政府に調査を要請した。
米英メディアはこのところ、香港の大規模デモの模様など、中国政府が神経をとがらせる動画が検閲されアプリへの投稿が制限されていると伝えていた。
米政府・議会は中国への警戒感から対米投資規制を強化している。CFIUSは昨年、米国際送金大手マネーグラムに対する
中国アント・フィナンシャルによる買収計画を却下する判断を下し、マネーグラムは買収計画を断念した。
関連
中国と自滅するソフトバンク
■中国産アプリ TikTokの危険性
TikTok(ティックトック、中国語名:抖音短視頻)は、中国のメディア企業Bytedanceが提供する短編動画共有アプリケーション・SNS。
日本国内では若者を中心にユーザー数が増加しており、中国国内では最大のユーザー数を誇るアプリである。創設者は張一鳴。2016年9月にサービスが開始された。
■2018年10月1日 - ソフトバンク、米投資ファンドKKR、同じく米国のジェネラル・アトランティックなどの企業が、Bytedanceへの出資を表明。 クレカが信用の証、すなわち社会人のステータスって意味不明すぎるわ
銀行に預金がないからクレカなんだろ?
デビット機能だけ使うならクレカでいいのによw サイト改竄されたらユーザー側ではどうしようもないよな。 さっさと公開すれば良いのにねえ
公開すると企業がしり込みするのかもしれんが こんなの小額の買い物ちょいちょいやられてたら気が付かないんじゃね? PayPalの偽装メール paypaI(iの大文字)に引っかかりそうになったことはある。 >正規画面でJavaScript仕込むタイプも
こんなもん気づかないだろ
もうカード使うの止めるわ アマゾンでしか
アマゾンギフトけんでしか
買い物をしない僕には無関係? XSSとかタブナビングかね
ネットショッピングする際には関係ないサイトからのリンクは踏まないほうが良さそうだ
サイトそのものの改ざんだと目も当てられんが こいうの怖いから、いつもニコニコ代引き購入してるw
ネット決済なんて怖いw >>21
XSSはサイトを改竄しないでエスケープ処理してない部分の脆弱性「突く
これはサーバに侵入してサイトを改竄しないとできない これは回避不可能だろ
正規サイトから支払い画面は一番気が緩む時
120%回避できない >>36
リダイレクトするタイプならリダイレクト先のドメイン見ればわかるが正規画面で実行する方は無理だな
開発者ツールでネットワーク眺めてないと気付けない 最近はアマゾンか楽天かヨドバシぐらいしか通販してない
個別のサイトでいちいちメンバーになれログインしろとかアホかと >>1
それよりもだな、Amazonから
「ハッキングされたから、あなたの垢は停止しておいたわ!」
「再設定画面でパスワードを変えて!さあ、はやく!」
ってメールが来たんだわ
ドメインはgoogle >>18
日本のショッピングサイトではマイナー決済だと思うけど >>40
エラーが出たらカード止めるしかない
入力ミスだとしても >>42
(; ゚Д゚)それしか被害最小限に抑える方法なさそうだね >>21
むしろ説明を求める理由を説明して欲しいんだけど。 エラーメッセージの日本語があからさまにおかしいんですけど、これで気付かない人いるの? 怖すぎワロエナイ
アマゾンはもうあんな惨状だしヨドがやられたら信用できるものが無くなる >>38
要望があるかわからないけど
オープンIDで楽天からも
Googleからも
TwitterからのID使ってログインがデフォになってきてる どこのECシステムかな
使ってるとこ全部アウトだぞこれ 1回httpsじゃなかったので閉じた。
次はhttpsだった。 決済金額も一緒?なら完全に乗っ取られてるの?
セッションも デビット使えば?
使うときに必要額だけ入れて運用したら、たとえやられても口座は空。
引き落としの度にリアルタイムで携帯にメールが来て安心だよ。 パスワードはほぼすべてツールで生成したから覚えてないんだよなぁ >>35
結局サイト運営側の脆弱性起因だしXSSの可能性もあるんじゃないの?
>>44
そらぁ変な嘘教えられても困るし こんなのわからないだろ
念の為給与口座のネットバンクはやらないようにしてるくらいだ これのリアルバージョンだとコンビニのATMに偽のカード投入口つけたやつみたいだな むしろ被害にあいにいって訴訟して賠償金貰うチャンスやぞ
大体サイト管理側の不手際だし
尚破産や怪しいサイトは訴訟先がいない >被害は東京の電子書籍販売会社や松山市のタオル販売会社など主に中小企業のサイト
被害を最小限に抑える為、隠蔽するな
全てを情報公開しろ やっぱ自社でちんまりやってるところはセキュリティも甘いし恐いよな NHKの派遣がきて強制的にカード通されて受信契約させられるようなもんだな >>2
うちの奥さんPayPal経由でクレジットカードの不正利用された。
PayPal、名前や生年月日が適当でもクレジットカード登録できんだな。 すでにカード番号を入力済の所だけなら問題無いな
新規に入力する所は全部怪しいと >>68
httpsじゃなくて入力フォームのあるサイト。 ネットでカードは使わないって言うのが最強
面倒でも前払いの銀行振り込みを使う アマとヨドとヤフショでしか買い物しないから大丈夫そうだな ネットショッピングはデビットしか使わないな。
ポイントが全然付かないから嫌なんだけどさ。 >>54
人に説明させておいてXSSが何かも知らなさそう ssl対応してるのはサイトなら大丈夫なん?こんなんパンピーには分からんよ…。 常にカード枠いっぱいまで使ってれば不正利用されないのではないだろうか いつも振り込み。
アマゾンでカードしかダメな場合はコンビニでアマゾンカードを買って支払う。 > 被害は東京の電子書籍販売会社
どこよ
この前ソニー使ったから不安 被害にあってんのはセキュリティ対策もロクにできてないしょぼいサイトだろ 被害が出たときはサーバー管理会社が責任とってくれるの? ココカラファインで何回かエラーある…なんか不安になってきたわ。大丈夫だといいけど >>38
その辺の常習のとこで買った方が良さげだな
大体のものは手に入るし ネットでカード使ったらすぐメール届くように設定してる 小規模の自前の通販サイトではクレジット払いはしないのが1番 >>39
appleからよく来るわ
youtube.comとかで >>80
事件の一覧
下表に本年(2019年)の現時点までに公表されたウェブサイトからのクレジットカード情報漏洩事件をまとめました。サイト名、漏洩期間、漏洩件数(最大)、セキュリティコードの漏洩有無、漏洩の手口(後述)を記載しています。
サイト名 漏洩期間 漏洩件数 セキュリティコード 漏洩手口
バニーファミリー横浜ネットショップ 2018年6月28日〜同年10月25日 241件 漏洩 Type5
オンライン通販サイト(ハセ・プロ) 2018年10月1日〜2019年1月24日 1,311件 漏洩 Type5
歯学書ドットコム 2012年11月11日〜2018年12月28日 5,689件 漏洩 不明
本味主義 2017年5月22日〜2018年10月14日 2,926件 漏洩 Type4?
子供服サーカス 2018年10月1日〜2019年1月18日 2,200件 漏洩 Type4
エコレオンラインショップ 2018年5月16日〜2018年12月11日 247件 漏洩 Type4
ななつ星 Gallery 2013年10月5日(サイト開設日)〜
2019年3月11日(サイト閉鎖日) 3,086件 漏洩 不明
「ショコラ ベルアメール」オンラインショップ 2018年8月6日〜2019年1月21日 1,045件 漏洩 Type5
エーデルワイン オンラインショップ 2015年7月8日〜2018年8月5日 1,140件 漏洩 不明
小田垣商店オンラインショップ 2018年4月3日〜2018年5月16日及び
2018年9月3日〜2019年2月28日 2,415件 漏洩 不明
藤い屋オンラインショップ 2018年10月15日〜2019年1月28日 477件 Type5
エンターテインメントホビーショップ ジャングル 2017年5月2日〜2018年11月6日 2,507件 漏洩 Type2
ヤマダウエブコム・ヤマダモール 2019年3月18日〜2019年4月26日 37,832件 漏洩 Type4
https://blog.tokumaru.org/2019/05/credit-card-information-leak-incidents-2019-1-5.html?m=1 >>90
古いフレームワークやミドルウェア使ってて既知の脆弱性放置してるとこうなる
EC-CUBE2とか ここまでされたらもうダメだな
面倒な時代になったなぁおい >>76
何も説明してなくね?全く違う事も説明出来てないし…何しにきたの僕ちゃん ヨドバシで
ネットで頼んで
店舗受け取りにしたらええねん
支払いは店舗で出来る これは店側の問題?ちょっと前にクレカ不可のネットショップで代引き選んで進んだら、クレカの入力画面が出てきたw。サイトに連絡したんだが、俺のパソコンのウイルスチェックをしろと言われた。 >>96
大した知識ないなら書き込まん方がいいぞ
はじかくだけだから ■ このスレッドは過去ログ倉庫に格納されています
