フォームが改竄 ABCマートなどでクレジットカードの番号やセキュリティコードなどが流失したおそれ [神★]
■ このスレッドは過去ログ倉庫に格納されています
ショッピングサイトのプログラム改ざん クレジット情報流出か
2022年10月27日 5時23分 IT・ネット
東京のIT企業が開発し、複数のショッピングサイトなどで導入されている入力フォームのプログラムが何者かに改ざんされ、少なくとも3000件以上のクレジットカードの情報が流出したおそれがあることがわかりました。
改ざんされたのは、東京 港区にあるIT企業「ショーケース」が開発し、ショッピングサイトなどで導入されている入力フォームのサービスのプログラムです。
会社によりますと、ことし7月、取引先から指摘を受け調査した結果、3種類のサービスのプログラムが外部からの不正アクセスによって改ざんされていたことがわかったということです。
これらのサービスは、さまざまなショッピングサイトなどに少なくとも5000以上導入されているということで、このうち一部のサイトで、入力された情報が外部に流出したおそれがあるとしています。
このサービスを利用していた靴の販売などを行っている「エービーシー・マート」によりますと、ことし7月24日から26日までに自社サイトで入力フォームを使った利用者のおよそ2300件のクレジットカードの番号やセキュリティコードなどが流失したおそれがあるとしているほか、「ユーキャン」では200件、「富士フイルムイメージングシステムズ」は500件余り、それに「出光クレジット」もクレジットカード情報などが流出したおそれがあると公表しています。
「ショーケース」は、「関係者の皆様には多大なるご迷惑をおかけする事態となり、深くおわび申し上げます」などとコメントしています。
https://www3.nhk.or.jp/news/html/20221027/k10013871221000.html サイトにキーロガー設置されたようなもんだからなこれ
クレジットカード番号もセキュリティコードもダダ漏れ 流出元がこれだったことを証明するのは困難だから
至急対策は行いました、で終わらせようとしてるな 改竄って具体的にどうやったのよ
FTPとかS3とかリポジトリのアカウントが漏れたとか、外部から他人管理のJavascriptインポートしてたとか、任意のコードをインジェクトできる脆弱性があったとか? 出光ガススタンドは大丈夫か
きょう入れようとしてた プログラム上のミスなのかどうか
故意犯なら犯人の背後関係(国)
普通はここらへんまで捜査するもんだけどなぁ、
日本の警察には無理なんだろうね XSSかなんかかね、これを改ざんと呼ぶかは知らんが
最近釣りメール多いよなぁ 今、電話したけどどのサービスがショーケースのフォームシステムを利用していたかは
ショーケースは公表しないつもりなんだって
被害が雪だるま式に拡大しそうで怖いな 開発元が詫びるってことは改ざんされた原因が開発元にあるのか
利用してる他でもやられてそうで怖いな >>20
クラウドサービスなのかもしれないね
それなら大元が改竄されたら利用企業ぜんぶやられちゃうから クレカ以外は関係ないと思っていいのか?
ネットバンキングとかは問題なし? 5000以上の企業が導入してるなら、かなりの情報が流出してるな
10万件とか軽く越えるんじゃないの つか、クレジット情報を販売者が持つってシステムって考えてみたらヤベエわな >>19
マジかよ
あらゆる末端消費者は不正利用のリスクに怯えてろってか ヨドバシとかデカいところが引っかかってたら最悪だな >>19
流出してるのにダンマリ決め込む利用企業が出そう というかさ
やっぱ現金のが良くね?
これから電子化・ネットワーク化が進んでいくにつれてどんどん増えてくんだぜこういうの >>5
俺の時はいきなりクレジットカードが使えなくなって、カード会社に問い合わせたら不正利用が発覚した
その後、カード会社から調査票が郵送されてきて、心当たりがあれば書けとあった
既に自分が利用してたショップの一つがやらかしてたのわかってて、その旨書いて送ったから、濡れ衣は晴れたと思ってるが、こんな事でクレヒス汚れたらたまらんなって思ったわ だからジャスティンパレスが調子悪く3着やったんやな
つかXSSに気が付かないってオンプレECかよw >>32
ちゃんとしたゴールドなら即時で無かった事になるよ ショーケースが開発したフォームにセキュリティホールがあったと? クレジットカードで直に決済するから情報流出に耐えられないのだ。なんとかPAYやIDで払えばよい。 これ、ショーケースが配信しているJSを読み込むかたちだよね。
フォームを生成するかたちだから、そこにXSS脆弱性があったかたちかな。 こういうことがあるから小規模事業者のクレカ入力画面は怖い。
無理に作らず金融機関にリダイレクトして決済処理をしろよと思う。 こういう独自にショップやってるところは利用しないに限る この程度で流出するんだからもう何したって流出はするんだよ >>37
payにチャージするの現金でやれって事? >>1
これ、どこの業者が使ってたのかエンドユーザーにはわからんのな。
なんか見分ける方法ないんかいな。 ショーケースの執行役員が語っちゃってます
https://gendai.media/articles/-/75705?page=6
2020.09.18「ドコモ口座」問題は他人事ではない!企業を揺るがす「二段階認証」の勘違い
なぜ脆弱性を見抜けなかったか?
中村 浩一郎
昨年の「7pay」に続き、今度はNTTドコモが運営する「ドコモ口座」、そしてゆうちょ銀行でも連携する複数の電子決済サービスによる不正引き出しが確認され、大きな問題となっている。企業とサービスの信頼性を大きく損ねる事態を招いた「脆弱性」をなぜ見抜けなかったのか?
SaaS型のITサービスの開発を行うフィンテック企業・株式会社ショーケース執行役員の中村浩一郎氏が「ドコモ口座」のケースを例に、解説する。
複雑化するネット社会の中で、営業、顧客利便性のバランスを取りながら、システムの要件に反映しセキュリティを担保することは非常に難易度が高く、個人のスキル向上はもちろん、組織的に検閲できる仕組みの検討が重要となる。
(中略)
うちは大丈夫だと思うかもしれない。しかし、サービス内容の変更、組織の改編、会社の合併等の変化などが起因となり、突然脆弱性が生まれてしまうという可能性は否定できないのではないだろうか。
特にネット上でビジネスを展開する企業にとって、今回のドコモで起きた問題は決して他人事ではない。 これでカード不正使用されたら、カード会社は損害を受けるし、
カードの持ち主もカードの変更や警察の届などの手間がかかるし
カード番号も変る これ凄い惨事になりそうだけど全然話題になってないな >>29
これ、同意が無いとショーケース側が勝手に発表出来ないから >>54-55
普通そう思うよね
ショーケースは公表しないんだってさ
ユーザ側で調べようなし フォームから改ざんしたやつに情報が行くようになってるから
企業が保存してるかどうかなんてこの情報からはわからないよ
web決済でクレカ番号入れるでしょ、
その後に本来の送付先とは別の送付先を付け加えるとかそんな感じの改ざんだろう
企業のDBにアクセスして盗まれたという話ではない 楽天の不正アクセスでカード番号変更せざるを得なくなってから、決済業者とかシステム業者は確認するようになったわ
カード会社も勝手知ったるで「あー、カード番号のご変更ですね?」って手続きめっちゃ早かったが。 >>52
> 特にネット上でビジネスを展開する企業にとって、今回のドコモで起きた問題は決して他人事ではない。
確かにな… サイト自体は正規だったならメーカーは客に責められても仕方ないねこりゃ >>5
不正使用がなくても、巻き込まれた利用者は大変だぞ
以前、メタップスという、カード会社と加盟店の間に入っているバカ会社の大量流出に巻き込まれたが、
カード会社からは、
さっさと新しいカードにして番号変えろ、
手続きした瞬間からいまのカードは使えなくなるけど、新しいカードが届くのは2週間後な
といわれ、2週間、メインのカードが使えなくなった
他のカードがあるとはいえ、メインカードで貯まるはずだったポイントとかも含め、とってもうざい話だった >>70
つうか、ドコモ口座はなぜかドコモダケが悪いことにされてるが、そもそも地銀ネットワークの脆弱な認証基盤が問題なのであって、ショーケースの役員は問題の本質を理解できないからこういう事態になってんだろお前ら、と言いたい。 クレジットカード番号とセキュリティコード盗まれたら
カードの持ち主は至急カード番号変更(再発行)手続きしないとダメなんじゃないの?
その前にカードの使用停止連絡か このノリでマイナンバーやら保険証履歴、免許内容、紐付け先の口座情報とかも漏れるんやろなあ
面倒でも物理的に独立して方がええんだが、何故に統合を急がせるのか >>65
>フォームから改ざんしたやつに情報が行くようになってるから
これね、超特大級にやばいと思うんだけどね
DBへのアクセスならログで被害情報を割り出せるんだけど
今回の場合は最悪システム利用した全利用者ってことになりかねない
どの規模で流出したのかが全くわからない
だから情報公開が大事なんだけどな 現金最強が証明されたな
日本ITはお粗末すぎてクレカの使用を躊躇するよ >>35
フォームの脆弱性ではなくて、
サーバに侵入されてフォーム部分のソース書き換えられたんだろ。侵入経路は分からんけど。 ABeChonマートやろ。
カード番号いれる方が悪い。 ショーケースってもしかして商品(カード含む個人情報)を陳列してお客さん(中北ロ)に売るって意味の社名なんじゃ 記録禁止な筈のセキュリティコードが漏れるって入力フォーム自体を弄られて犯罪組織に入力情報がそのまま漏れた感じなんかね
不正使用をたとえ保証してくれたところで時間掛かるし実害あった場合は手続き面倒なんだよなあ 店から漏れたんじゃないわけで、仕込まれたことに気付かずカード情報入力したユーザー側が直接的な原因だからな
情報を漏らした責任ではなくて、セキュリティホールを作られた責任を追求すべき
目線が違うことに気づかず、情報漏洩として叩くのは安直 >>88
直接的な原因はユーザ側じゃないだろ
フォーム自体が改竄されている場合にユーザ側が気付けることってあり得るか? ショーケースか
これかなりの数のサイトが使っているぞ
早めに公表した方がいいのに >>87
なんでこんなに時間たってからなんだろうね謎だわ
時間が経つとクレジット不正利用分の取り消しもできなくなるんじゃなかったっけ? >>14
アメリカ様が関わっていたら隠蔽しないといけなくなるだろう? 限定スニーカーブームで抽選に参加するだけで毎回カード情報入力必須でしかも大半が外れると言う怒りのブリヂストン ABCマートは姜正浩(カン・ジョンホ)が創業した在日系企業だからな
ABCマート自社サイト管理者の1人がサーバーの侵入口を開けておいてあげれば侵入者は容易に入れる
クレジットカード情報入手して手に入れた金品はマザームーンの財産になるのだろ これショップ側は気付けるけどユーザー側はこのプログラムか分からんのがな
7月のを今更言われても XSSなら利用したユーザ側もやっちまった感あるけどそれなら改ざんされたとは言わないよな
フィッシングに近いし
改ざんされたのであればバックドア仕掛けられた入り込まれたとか
クラウドならパスワード漏れた乗っ取られたとかそっち系に思える >>52
ええっと
ショーケースってこれだったよな?
>ショーケース、あらゆるユーザーインターフェースをSaaSとして実現するプラットフォーム「おもてなしSuite」事業を開始
これLINEとかも加入してね?
報道見た気するけど >>101
つかユーザーに危険性のあるサイトを今すぐ一覧で出すべきだよな
無責任すぎるだろサービス提供側 >>83
察して知るべし
中国やロシアから日本のサーバーなどに侵入しようとする通信が一日1000件近くあることが警察庁独自の探知センサーで分かりました。
https://news.yahoo.co.jp/articles/81d8cf2818696195c5e88157168024a333b3782b
警察庁ではインターネット上にセンサーを設置し、国内外から日本のサーバーなどへの侵入を狙ってセキュリティーの弱点を探すアクセスをチェックしています。
今年の上半期は、4年前のおよそ3倍にあたる一日8000件近くの不審なアクセスが確認されました。 >>1
>関係者の皆様には多大なるご迷惑をおかけする事態となり、
顧客には謝罪してないな、さすが鮮人だわ 3Dセキュアって今ひとつ浸透しないね
強制させればいいのに 7月以降、ネットショップでクレカは使っていなかった。
セーフだった。 ABCマートといえば上重聡が三木会長から1.7億円の無利子融資の件を思い出した クレカを登録したのは、アマゾン、ヨドバシ、ググル、マイ糞、ペイパルだけだな。ここから漏れたらネット通販撤退だな。 ここ数年ずーっとこんなのばかりだよ。
特に多いのがEC-CUBEってオープンソースの昔の脆弱性使われるやつ。
提供元とか色んなところがさっさとバージョンアップしろと言ってるのに放置してカード情報横から掠め取られる。 うーん、中小サイトはこういうリスク考えて使わんといかんな。
無論、大手サイトでもある程度可能性はある。
やっぱ郵便為替(裏書きは無記名で)が一番ってことか。 >>80
javascriptを文字列ファイルでディスクに保存してあり、それを毎回ロードして実行してた
そのファイルを書き換えられたって事かな? 去年楽天カードが不正利用されたわ
ほとんど使わんカードなのに3万円ほど請求来たからすぐ気付いたけど、こういうのって請求から2ヶ月くらい経つと補償の対象外になるのな
普段そんなに請求明細見ないからメインのカードだったら気付かずスルーしてたかもしれん フォームのコード改竄なんて、メモリ上で完結してたらまず出来ないよな ネットで買うならアマゾンギフト券みたいなのが
一番いいんだがな
(´・ω・`) >>116
やっぱ請求書は届く都度目を通さんといかんな。 グーグルにすべて紐付けしてる時代に騒ぎすぎだろw
恥ずかしい動画もクラウドに自分であげてる昨今にw
個人情報は漏れて当たり前だという情報精査する時代だぞ 個人情報ダダ漏れさせても、どこの企業も知らんぷり
もはや自分の情報は保護なんかされてない いわゆるその辺の「個人情報」ってのと違って、直接おカネを奪われるこれは情報の格が違うからな・・・ 極力コンビニ払いだ
できないところだけ年一回ぐらいプリペイドクレカ 楽天カードだと決済翌日にメールくるから、見に覚えのない請求だったらすぐ連絡できるから安心かな ネットの決済はFeliCa規格のもので済むならそれでやった方が良い
サイト側はクレカ一択にしたがるんだけどねえ 90年代の半ば、まだまだネットが商業化されていなかった時代が
よかったよなぁ。今や何でもかんでも全てカネだ。つまらん ネットに接続するだけで調べ物して端末の設定する時代なら好き者しかいないから面白くもあったがな
その時代から商売に使えそうだと目を付けていた人間は沢山いたからなるべくしてなったとしか
大学のアドレスからウイルス付きスパムばら撒いてる奴がいて
スプリクト送りつけて応戦とかめちゃくちゃで愉快だった >>128
ABCマートは在日企業で有名だろ
日テレの男アナウンサーを数億で買収してたよな なんで7月のを今?
しかも情報公開してないし最悪な対応じゃないか? >>130
50000円までしか買えないじゃん\(^o^)/
しかもお前らが大好きなSuicaは20000円(・o・) ショーケースだっけ?
こんな会社のシステム怖くて使えない やっぱり買い物はAmazon楽天ヨドバシしか安心できない これ、ABCマートはむしろ被害者側だろ
なんでこんな誤認させるスレタイ付けてるの? >>1
深くおわびはともかく、どのショッピングサイトで流出した可能性があるのか教えてくれよ 情報公開したら炎上するからずっと公開せずにいるのかもしれない
実際どこのサイトが危険だったか言わないと誰も知りようがないからな 朝鮮学校ABCマート
【三木 正浩は、靴小売業会社ABCマートの創業者】
北朝鮮系朝鮮学校卒業後、愛知県名古屋市の東邦学園短期大学卒業。1983年に日本に帰化。
1985年28歳の時に東京の早稲田で、靴と衣料品の輸入販売商社株式会社国際貿易商事を設立。
本名はKang Jeong-hoである。『法令全書』(1988年)189ページには三木と同じ生年月日の姜正浩(三木正浩)の記録がある。 北朝鮮系朝鮮学校卒業後[3][6]、愛知県名古屋市の東邦学園短期大学卒業。1983年に日本に帰化 だからジャスティンパレス勝てなかったんだよw
今週、戸崎1鞍、クリスチャン2鞍、一流騎手が騎乗するけど油断しない方がイイよ LINE、TikTok使ってるやつは気にしなくていいぞw
もう漏れてるからwww 素人社員に作らせたセ◯ンネットにはかなうまい
スクリプト対策ゼロだった これ会員になってて「クレジットカード情報を登録する」を選んでいた場合?
それとも一回こっきりでもカード利用したら抜かれてんの? >>131
無料が当たり前でカネをとるのは無粋だったよな
「Free」から変わった クレカなんてやめとけ、僅かな値引きで安全性を犠牲にするとかあり得ない。
コンビニ払い推奨。 >>148
おそらくだけどフォーム自体が改竄されてるから
フォームにカード情報を入力して確認ボタンみたいなものを押した時点で外部に情報流れてる可能性ある
詳細公表してないから真実は闇だけど
カードを登録とか決済完了とかそんなの関係なく流れてる可能性
高度なやつだと確認ボタン押さなくても流れてる可能性すらある クレジットカードの数字のところがボコっとなってる様式
いいかげんもう要らないんじゃないかと思う
財布に入れにくいわ >>153
最近はエンボスレスにどんどん変わってるね。
表面には番号も名前もかかないでICチップだけあるようなカードが増えてる。 カード更新で逆にナンバーレスからエンボスに戻されたんだが >>152
マジかー
最近のはヤバいんだな
自分は以前はネット通販でクレカを使うことに慣れてなくて
怖いから一度きりの使い捨て番号が発行できるデビカを使ってたんだよ
その時にデビカの銀行から「しつこく不正利用しようとした形跡があるから
発行した番号を一旦全て止めてます」とメール連絡があって
直前に使った通販が怪しいと思い、同じサイトでクレカで買い物した家族に連絡
家族がクレカ会社にカクカクしかじかと説明したらすぐに調べてくれて
「未遂で終わってますが(たぶんセキュリティコードが入力できなかった)
3回連続で家電量販店で高額の使用を試みた形跡がありますが
ご本人に心当たりは?」って言われたらしい、もちろんその店で使ったことがない
カード会社もその場ですぐ番号再発行して新しいカード送りしますってなってビビった
その通販会社自体は長年使ってて怪しくはなかったので、たぶんそこも当時何か外部からやられてたのかな?と思う >>139
システム会社の名前だけ記事にしても
自分がそこを使ったかどうか一般客にはわからんからでしょ
店舗名があれば買い物したところだって気が付いて対策しやすい メタップスの時は日赤の寄付サイトがやられたからな
妙なとこで買い物してないとか思うのは大間違い
何処でどうなってるかわからん
関わってる業者が自ら公表するように総務省が指導する必要まである 富士フィルムって写るんですまだ作ってたんだ。昔はコンビニレジの横にあって、修学旅行でいっぱい撮ったな さっきパレットプラザで買ってきたぞ伝染るんです、じゃなくて写ルンです。
なんでか知らんが俺の前の客も写ルンです買ってた・・・ >>160
今、若者に大人気らしいね
フィルムカメラの味が出て良いとか
写るんですで味とかあるんかな?との疑問はあるけど まぁその場で撮影結果の成否がわからず、現像焼き付け後に写真を見て、うまく写ってなくて落胆するところまでがフィルムカメラの味だからなw >>162
そう言われながらも街中や観光地で写るんですどころかフィルムカメラを使ってる人をほとんど見かけないけどね。 >>162
10年くらい前かなぁ
デジカメ全盛期だった頃に写るんですに細工してトイカメラ風の写真を撮るとか
なんかそういうのが流行ったことがあったよ
素人が考えついていろいろやってブログに上げて
それをカメラ雑誌が取り上げて?みたいな感じだったかな
よく知らないんだけどそんな話を聞いた
それがまた再燃してるとかじゃないのかね? メディアの扱いがなんか小さいな
重大事案だと思うんだけど ショーケース側からは勝手に公表出来ないんだから
ショーケースのサービス使ってるサイトは今すぐ自己申告しやがれ! こういうのは発生元となったサービス側で強制公表のルール作らないと
末端の利用者だけが不利益被ると思う
罰則ありの法整備が必要だろうね 非保持非通過が基本だろうに
どうせpcidss準拠の業者じゃないんだろ? セキュリティコードってどういう意味あんだろ
クレ番以外に数字を設定する意味ってなんなの? >>173
カード番号には法則があってランダムに求めることができる。
https://web110.com/report/file01-nbill/
Nビル事件って巨額の詐欺事件が世界規模で発生していた。
なんとカード番号だけで料金請求できて引き落とされるのだ。 正確には少額($500)請求で多数の被害者を出している。
昔見たドキュメントでは、アメリカで会社のカード不正利用で
横領→解雇になった事例とかあるらしい。
不正な請求でも少額だとクレジット会社は調査しないし、
補償もしなかったらしい。
当時まったくニュースになってないのは
メディアの忖度で、ネット中心に被害者の情報交換が行われた。 クレジットカードってセキュリティが頑丈なようでザルだからな
番号と誕生日控えれば誰でも使えるって異常だよな >>121
Googleどころか色んなところに紐付けられてる
ネットが普及して何年経ったのにページが書き換えは後をたたない
標的にされたら100%防御できるかは誰にもわからない
情報が漏洩したことを検知する方法を開発したりカード会社が多段階認証アプリを提供するなどしないとムリ
技術的なことを分からない人が鬼の首をとったかのようにセキュリティガーと騒ぐからサービス側の対策はどんどん歪になっていく >>43
このサービスがまさにお前の言う代行業者なんだが 詳細を公表しなければ炎上しないという悪例にならなければいいけど
炎上する必要はないんだけど情報公開は絶対必要だよ
3ヶ月経ってから極一部の概要だけネットニュースの片隅に流すとか利用者に何のメリットもない ■ このスレッドは過去ログ倉庫に格納されています