「ECカレント」や「特価COM」に不正アクセス、クレジットカード番号などの流出の可能性 72
ストーリー by headless
不正 部門より
不正 部門より
あるAnonymous Coward 曰く、
ストリームが運営する通販サイト「ECカレント」「イーベスト」「特価COM」が不正アクセスを受け、購入者の決済情報が流出した可能性があるそうだ(プレスリリース: PDF、 ECカレントのプレスリリース: PDF、 イーベストのプレスリリース: PDF、 特価COMのプレスリリース: PDF、 NHKニュースの記事)。
昨年11月にクレジットカード会社から不正使用の連絡を受けて調査を行ったところ、昨年9月28日から12月8日の間に各サイトから商品を購入した顧客の決済に関する情報が侵入者に閲覧可能な状態だったという。流出した可能性があるのは購入者氏名、メールアドレス、クレジットカード情報(カード番号と有効期限)。ただし、特価COMではクレジットカード情報の漏えいはないとのこと。同社では脆弱性を修正し、不正アクセスおよび個人情報漏えいを防止する措置を行ったとのことだ。
ECカレントや特価COMは価格.comなどでの安値上位に頻繁に登場するサイトなので、利用していた人も少なくないだろう。各自ご確認を。
パスワードを教えてくれた (スコア:5, おもしろおかしい)
特価.com、昔使った記憶があるな~と思ってパスワード忘れたよって問い合わせたら
パスワードそのものを教えてくれたよ。
今時珍しいな。
Paypal使えよ (スコア:2, すばらしい洞察)
日本のECは、小さな店でも平気でクレジットカード番号聞いてくるからなぁ。
Paypalなどの完全に外部の決済サービス使えばいいのに。技術ないの?と思ってしまう。
Paypal対応サイトが少ないから、日本じゃ全然普及してない。
とはいえ、ちょうどタイムリーにPaypalの脆弱性(ソーシャルハック)のニュースが出てるので薦めにくいんだけど・・・
Google WalletでもSquareでもなんでもいいので、それ系のものを、ぜひ。
Re:Paypal使えよ (スコア:3, 興味深い)
外部決済は既にSBペイメントやZEUS決済があるので、普通の会社はあえてPaypalである必要がなく…
ああ,最近使ったわ-と思ったがカード情報は載せてなかった矢 (スコア:2)
10月にOKIのドットインパクトプリンタのカードリッジ買うために新規会員登録したわ。
クレカは登録してないし,着払いだったから問題ないけど…
でも,スパムとか増えた感じは今のところしない。
疑問 (スコア:1)
大規模な流出事件が何度も報道されているのになぜクレカ情報を保存しようとするのだろうか?
継続課金とか繰り返し買い物して貰うため?
でもトラッキングコードでできるんですよね?
なぜ保存する必要がないばかりか、リスクしかないものを持とうとするのだろうか。
マゾなのかな。
Re:疑問 (スコア:2)
事故後は保管しないようにシステム変更できてるんだしねえ。
Re: (スコア:0)
絶対衝突しない一方向性関数が有ればねぇ
Re: (スコア:0)
どういうこと?
Re: (スコア:0)
Re:疑問 (スコア:1)
ハッシュの空間のほうを常に十分に広く取るようにすれば、不可逆で衝突しない関数は作れそうな気がします。
その場合、一対一じゃないので、暗号とはならないんじゃないかと。
私もそういうのほしいと思います。
Re: (スコア:0)
秘密鍵破棄して、公開鍵で暗号化すれば、それっぽいですよねぇ。
何の意味があるかは分からないけど。
Re: (スコア:0)
でも、クレカ程度の情報量なら、
あっという間にハッシュ辞書が完成してしまいますね。
Re: (スコア:0)
別の情報も一緒に暗号化するとか、仮想化使って別環境で暗号化することで鍵の流出を防ぐとか、クレカ番号だけ変えての暗号化を制限するとか?
いや、まぁ、どうするか、良く分かってないけども。
Re: (スコア:0)
ということもあり楽天しか使わなくなったよ
Re: (スコア:0)
楽天さんはDMが鬱陶しいから避けてるけど、セキュリティ的には良いとこだったりするの?
#私はAmazonさんなら流出しにくいだろうと考えてる…が流出するときはするんだろうな
Re:疑問 (スコア:1)
母体が大きいところはシステム保全への人材やその他コストをケチることのリスクもわかってるから、
それなりに安心してよい、というかするしかない。楽天もAmazonもまぁ大丈夫だろ。
今回の3サイトについては、完全に薄利多売で、社内でやっすい中国人プログラマを使ってシステム改修してるような会社だから、
まぁそこら辺で脆弱性作り込んじゃったんじゃないかな。
HTTPヘッダ見る限り、サーバーはWindows Server 2012 R2っぽいけど、ログインとかカートとかはレガシーASP使ってるようだし、このご時世にレガシーASPで開発しちゃうような連中が作ったプログラムの安全性なんかお察し。
Re:疑問 (スコア:1)
ASPはすべてこれですね。ソフトクリエイト
http://www.ecbeing.net/ [ecbeing.net]
もともと特価COMはソフトクリエイトが運営していた通販サイトだったけどストリームに譲渡されています。
どのあたりの脆弱性かわかりませんが、国内の多数の大手企業もこれを利用していますので、他にも影響があるかもしれません。
他で流出の情報がなければやっぱりここが脆弱性作りこんじゃったのかもしれません。
Re: (スコア:0)
そうそう、ストリームに特価COMを運営もシステムも丸ごと渡して、あとはストリーム社内で開発してる。
特価COMも元々はASP.NETのシステムだから、マイページ系が.aspになってるあたり、
もう完全にストリーム社内で独自の物に作り直して、そこでしょーもない脆弱性を作り込んだ可能性が高い。
というか国内のECパッケージ系はそれなりに規模があるから、EC-CUBEみたいなしょっぼい所でもない限り、
どこもキチンと外部の脆弱性診断とかしてるからそんな酷いことは起きないハズなんだよね。
Re:疑問 (スコア:1)
今回問題になったような小さい店舗直接よりはセキュリティ的にマシな可能性は高いかと。
当時、結構騒がれたんだけど、それを逆手にとって文句の出にくい状態で店からカード決済の権限奪って
外にはこれからは安心をアピールしつつ、きっちり収益アップや囲い込みにもつなげたというやり手ぶり。
ピンチをチャンスにかえたと一部アナリストさんたちからもとても好評でしたとさ。
見事な焼け太りとぶりに感心したから、なんとなく覚えてた。
まあ今もその時のままかはわからんけどね。
ただなんか問題があっても履歴で手繰りやすいだけでも大手は有利だとは思う。
数ヶ月前の買い物を何処で買ったかなんて覚えてる人は少ないだろうし。
Re: (スコア:0)
楽天って一部大手は例外とか言ってジョーシンとかには引き続きクレジット番号出してなかったっけ。
あれってもう終わったのかな?
Re:疑問 (スコア:1)
楽天 カード情報 流出 - ウェブ検索 [fenrir-inc.com]
よゆうで漏れてるっつーの
Re: (スコア:0)
楽天って楽天自体が悪用してるようなもんだろ…
昔から色々やらかしてるし信用出来ない
Re: (スコア:0)
正直自分も楽天は信用していないが、図体でかいだけに事故ったときの規模も大きくなるのでクレジット会社等への説明が楽じゃないかと思って使い続けてる。
Amazonも同じ。
Re: (スコア:0)
自分もそれが一つ。
あと、社会的な対応からも迅速が求められるだろうから対応早そうってのと。
あと、森のなかに木というか、多数漏れたら自分のが被害に合うかどうかは運になるかな?とも。
でも一番はなるべくカード番号伝える先は少数で済ませたいから扱いが多い所を選ぶ。
ただ、モール形式は信用してない。amazonもamazon以外の販売は基本避けている。
Re: (スコア:0)
楽天、確かにお漏らしはしないけど、不正利用という観点からは未だに、3Dセキュアどころか、セキュリティコードすら不要な状況をどうにかして欲しいと思います。そりゃ、保険で保証はされるけどさ…。
Re: (スコア:0)
セキュリティーコードとかいうゴミはともかく、3Dに関してはカード会社の怠慢が全て。
大手イシュアでも、3D登録されているカードは全体の20%程度しか無い。
リスクを担保できるなら、3D使わない方が当然売り上げが上がるので、
Amazonとか楽天はガン無視しているわけです。
Re: (スコア:0)
3Dセキュア使ったところで、クレカ番号は店側にわたるから意味ない。
Re: (スコア:0)
流出したカード番号が認証に対応しない楽天で使われやすいと言う話だから、クレカ番号がわたるとかは関係無い
Re: (スコア:0)
3Dセキュアって店側にはメリットがあっても、購入者側には何のメリットもないだろ。
手間がかかるだけ害悪ですらある。
Re:疑問 (スコア:1)
店にも大してメリットなくて、イシュアだけにメリットがあるんですよ。
そりゃ普及しません。
3Dセキュア自体なんというか、ダサい方式だけど、
どうしても普及させたければ料率を大幅に優遇するとか、何らかの策が必要じゃないでしょうか。
Re: (スコア:0)
俺には関係ねえからと言う一方的な思い込みで犯罪抑止を批判する奴はクソ
Re: (スコア:0)
NSA 「呼んだ?」
Re: (スコア:0)
他の類似事例なんか調べないか、漏れても大したことがないとこの期に及んで高をくくっているか、うちだけは大丈夫という謎の自信に満ち溢れているか、はたまたそもそもクレカ情報が漏れると言うことの意味が理解できないか、そんなところではないでしょうか?
「愚者は経験に学び、賢者は歴史に学ぶ」というように、こういう人たちは自分が痛い目に合わない限り、理解できないのでしょう。
Re: (スコア:0, 荒らし)
厨二病なコメントですね
Re: (スコア:0)
できるんですか?
Re:疑問 (スコア:1)
決済代行会社によって呼び方は違うけど、決済代行会社に預けたカード番号を使って決済するための紐付けコードはもらえるから、システムさえ作れば余裕で出来る
Re: (スコア:0)
納得です。
paypalで決済するならpaypalがやられなければ安心みたいなもんか。(paypalは別件で話題になってはいるけど)
Re: (スコア:0)
ユーザーにも同じ事が言えますかねえ。
#クレカ決済は最後の手段、可能ならワンタイムデビットで
管理 (スコア:0)
カード会社に言われて調査をしたらわかりましたっていういつものパターン
こういうのって日常的に管理してる人間はわからないものなの?
Re:管理 (スコア:5, おもしろおかしい)
他人に指摘されて初めて気づく
鼻毛みたいなもんやな
Re: (スコア:0)
鏡を見ないのかって話になる
Re: (スコア:0)
ECの最大のメリットとして店舗経費を極小にできるというのがあるわけですが、
日常的にアクセス監視をする人を置いてたらそれは万引き防止の店番店員を一人置くのと変わらないわけで。
Re: (スコア:0)
監視もそれなりに自動化できるし万引き防止の店番は店舗ごとに必要ですがサーバの番人は一人か二人もいればきっと足りるさ。
Re: (スコア:0)
情報流出監視の自動化ができるのであれば、そもそも流出が起こらないわけで。
Re: (スコア:0)
不正利用されたことをユーザーとカード会社と犯人以外が知ってたら嫌でしょ。
不正使用の連絡を利用者が店舗にするの?
どういうルートでわかるといいたいの?
Re: (スコア:0)
不正利用以前の不正アクセスの事を言ってるんじゃないの?
調査して過去の記録から不正アクセスと分かったわけだから、通常時にそれをチェック出来る体制があれば早期に見つけることが出来る可能性はあった。
Re: (スコア:0)
そもそも不正侵入が発覚しても、本日もオンラインショップは通常営業中でカード歓迎になってますが、こういう対応でいいんですかね…
カード会社側も、それでOK出すんですか
ログインすると登録カード番号が全部わかるのがダメダメ (スコア:0)
じゃないのかな?
たとえばamazonだと下4桁しかわからないから、amazonで買い物するならともかく、カード番号ブッコ抜きができませんからね。
本当にこの期間だけ? (スコア:0)
去年の9月以降に取引した人の情報だけが漏れてるような書き方だけど、私はそれより前にこのサイトを利用したっきりで、かつこのサイトにしか登録していないメールアドレス (eccurrent@独自ドメイン) に今年1月からフィッシングメールが届くようになりました。
Re:ソーシャルガード (スコア:1)