【IT】ショッピングサイトのプログラム改ざん クレジット情報流出か [ムヒタ★]

[1 ムヒタ ★ 2022/10/27(木) 06:01:57.53 ID:hzxIMIKP]

東京のIT企業が開発し、複数のショッピングサイトなどで導入されている入力フォームのプログラムが何者かに改ざんされ、少なくとも3000件以上のクレジットカードの情報が流出したおそれがあることがわかりました。

改ざんされたのは、東京 港区にあるIT企業「ショーケース」が開発し、ショッピングサイトなどで導入されている入力フォームのサービスのプログラムです。

会社によりますと、ことし7月、取引先から指摘を受け調査した結果、3種類のサービスのプログラムが外部からの不正アクセスによって改ざんされていたことがわかったということです。

これらのサービスは、さまざまなショッピングサイトなどに少なくとも5000以上導入されているということで、このうち一部のサイトで、入力された情報が外部に流出したおそれがあるとしています。

このサービスを利用していた靴の販売などを行っている「エービーシー・マート」によりますと、ことし7月24日から26日までに自社サイトで入力フォームを使った利用者のおよそ2300件のクレジットカードの番号やセキュリティコードなどが流失したおそれがあるとしているほか、「ユーキャン」では200件、「富士フイルムイメージングシステムズ」は500件余り、それに「出光クレジット」もクレジットカード情報などが流出したおそれがあると公表しています。

「ショーケース」は、「関係者の皆様には多大なるご迷惑をおかけする事態となり、深くおわび申し上げます」などとコメントしています。
2022年10月27日 5時23分
https://www3.nhk.or.jp/news/html/20221027/k10013871221000.html

[2 名刺は切らしておりまして 2022/10/27(木) 06:21:01.00 ID:p5AS2mEC]

流石IT後進国日本

[3 名刺は切らしておりまして 2022/10/27(木) 06:30:43.84 ID:+w0lc5O8]

まさか平文で保存してたとか?

[4 名刺は切らしておりまして 2022/10/27(木) 06:46:50.63 ID:JfU0STjw]

非保持化してもフォームそのものを変えられるとアウトだから対策に困る

[5 名刺は切らしておりまして 2022/10/27(木) 07:02:22.29 ID:B+uI/6pp]

やっぱ

[6 名刺は切らしておりまして 2022/10/27(木) 07:38:24.24 ID:PwI/bDBT]

被害企業名を全部公表してほしい。
アマゾンを語った偽メールが毎日届くようになったのと
関係ある？

[7 名刺は切らしておりまして 2022/10/27(木) 07:40:02.37 ID:jYJCFoSa]

マスキング機能使えよ

[8 名刺は切らしておりまして 2022/10/27(木) 07:42:09.58 ID:TovTXplz]

>>6
多分ない。
漏洩したなら、そんなまどろっこしいことせずににお前のカード情報使う。

[9 名刺は切らしておりまして 2022/10/27(木) 07:58:52.05 ID:Bfrg+2Yk]

>>6
それはクレカ情報じゃなくメルアドが漏洩したんだよwww

[10 名刺は切らしておりまして 2022/10/27(木) 07:59:43.81 ID:tVU0IrQY]

個人情報をかっさらい続けるくせに
気軽に漏洩させて、
ごめんなさいでおわりにする

最初から漏洩していいや、ってかんじなんだろ
ゴミクズどもめ

[11 名刺は切らしておりまして 2022/10/27(木) 08:01:36.91 ID:CfNkl8NS]

世界よ、これが日本だ

[12 名刺は切らしておりまして 2022/10/27(木) 08:10:29.91 ID:axpHpqR5]

FANZAは？FANZAは大丈夫なの！？

[13 名刺は切らしておりまして 2022/10/27(木) 08:20:20.38 ID:JAixPlB0]

オープンソースのやつを元にしたの?

[14 名刺は切らしておりまして 2022/10/27(木) 08:53:06.11 ID:WeTvDMpq]

富士フイルムはまだ「システムメンテナンスのため停止中」としか言って無いな

[15 名刺は切らしておりまして 2022/10/27(木) 08:55:43.42 ID:WeTvDMpq]

>>6
この会社がコンビニ払いシステムもやってたら多少はあり得るか
メタップスペイメントがそうだった

[16 名刺は切らしておりまして 2022/10/27(木) 09:04:34.10 ID:9WfzHShj]

ディスクユニオン死ね

[17 名刺は切らしておりまして 2022/10/27(木) 09:28:26.34 ID:ZdlObw7E]

日本のeコマースはなぜドメスティックな決済スキームを使いたがるのか
素直にAmazon PayとかPayPalとかにしとけばいいのに

[18 名刺は切らしておりまして 2022/10/27(木) 09:36:32.39 ID:LHMHpWYK]

いっつ　じゃぽんていすつ～

[19 名刺は切らしておりまして 2022/10/27(木) 09:36:59.95 ID:o4S7NFeb]

なんでセキュリティコード保存してんの？
馬鹿なの？

[20 名刺は切らしておりまして 2022/10/27(木) 09:38:05.94 ID:tCj44wmj]

>>17
raypalはエロ排除してるからダメだな

[21 名刺は切らしておりまして 2022/10/27(木) 09:47:27.72 ID:xcYHDkv/]

>>19
入力フォームの内容抜かれてるんだから、保存してるとかそういう話じゃないぞ。

[22 名刺は切らしておりまして 2022/10/27(木) 09:49:32.10 ID:nc68VPyz]

>>3
フォームなんだから保存する以前の問題じゃね

[23 名刺は切らしておりまして 2022/10/27(木) 10:05:37.40 ID:Ni99A+lO]

WAFを導入してなかったのか。。。
馬鹿なの？

[24 名刺は切らしておりまして 2022/10/27(木) 10:06:30.80 ID:umtqEMDK]

>>3
馬鹿は黙っとけ

[25 名刺は切らしておりまして 2022/10/27(木) 10:07:09.70 ID:umtqEMDK]

>>7
馬鹿は黙っとけ

[26 名刺は切らしておりまして 2022/10/27(木) 10:07:50.60 ID:umtqEMDK]

>>19
馬鹿は黙っとけ

[27 名刺は切らしておりまして 2022/10/27(木) 10:09:06.32 ID:umtqEMDK]

>>23
馬鹿は黙っとけ
サイト改変されてるのにWAFが何の役に立つんだよ

[28 名刺は切らしておりまして 2022/10/27(木) 10:10:20.30 ID:umtqEMDK]

ここまで指摘してるやつ的外れの馬鹿しか居ないの草
素人の知ったか恥ずかしい

[29 名刺は切らしておりまして 2022/10/27(木) 10:15:41.28 ID:HJ3nMzAA]

そもそも今時なんでプログラムの改竄なんてされるんだよ
セキュリティガバガバ過ぎるだろ

[30 名刺は切らしておりまして 2022/10/27(木) 10:21:35.11 ID:1GOljUEu]

記事そのままだとサーバに侵入されてスクリプト自体を書き換えられていたように読み取れるね。

[31 名刺は切らしておりまして 2022/10/27(木) 10:22:29.28 ID:PwI/bDBT]

企業サイトを見てきたら
クラウド、顔認証サービスとか手広くやっているみたいで。
私にはどれとどれが関連しているかもわからないけど
デジタル社会推進に影響は大きそう。

[32 名刺は切らしておりまして 2022/10/27(木) 10:22:30.16 ID:1GOljUEu]

あるいは開発者の端末もあり得るか

[33 名刺は切らしておりまして 2022/10/27(木) 10:45:58.48 ID:2RuMeqFW]

だから実店舗で現ナマ払いが一番安全

[34 名刺は切らしておりまして 2022/10/27(木) 11:10:34.52 ID:tHXHHw6x]

いい加減クレカのセキュリティを抜本的に変えろよ
盗んだ番号だけでショッピング出来るとかザルすぎ

[35 名刺は切らしておりまして 2022/10/27(木) 11:14:13.75 ID:nc68VPyz]

>>34
PayPal使うなり回避法はあるのに使わないんだから仕方ない

[36 名刺は切らしておりまして 2022/10/27(木) 11:30:20.47 ID:Gmhh7tt8]

ネットでもamazon payかpaypayのQRコードに対応してほしいわ
そうすればクレカ情報は伝わらないだろうからな
板クレカの変更とかめんどくさいぞ
なんせ受け取りが必要だから

[37 名刺は切らしておりまして 2022/10/27(木) 11:30:42.55 ID:Gmhh7tt8]

>>35
案外対応していないのがpaypal

[38 名刺は切らしておりまして 2022/10/27(木) 11:33:50.17 ID:nc68VPyz]

>>37
今の所PayPalとd払いでネット決済は間に合ってるわ

[39 名刺は切らしておりまして 2022/10/27(木) 11:56:41.12 ID:9d8TSN/R]

>>3
逆に問いたいんだけど
「モールス信号で氏名と生年月日を入力してください」って要請されたらお前さん対応できんの？

[40 名刺は切らしておりまして 2022/10/27(木) 12:07:00.67 ID:lJLyZGL8]

Revolutでサイト毎にバーチャルカードを作ってそれを登録してるわ
全部同じカード使ってるとこういう時変えるの面倒だからな
Revolutはバーチャルカード毎に月の上限も設定できるしまー便利
デビットカードだけど

[41 名刺は切らしておりまして 2022/10/27(木) 12:28:41.07 ID:OqZKKGs6]

>>1
さすが東南アジア以下のIT後進国だぜ
ここまでザルなのは海外ではもうほとんど見ないからな

[42 名刺は切らしておりまして 2022/10/27(木) 12:36:36.63 ID:xqwaADr2]

プログラムが外部から改ざんというのがよくわからない
GITサービスのパスワードが漏れたとそういう系？

[43 名刺は切らしておりまして 2022/10/27(木) 12:39:55.03 ID:xqwaADr2]

手口を公開したら模倣犯が出るから詳細は書けんのかもしれんが何をどうしてプログラムを書き換えたか分からんな

[44 名刺は切らしておりまして 2022/10/27(木) 13:00:36.39 ID:HJ3nMzAA]

>>42
Web サーバーの脆弱性を利用してサーバーのスクリプトファイルを書き換えたって言うのがありがちなんだけど今時インターネットに公開するサーバーでそんなアホな管理してる奴がいるとは思いたくない

[45 名刺は切らしておりまして 2022/10/27(木) 13:25:02.42 ID:vn8sTcC8]

これ個人は防ぎようがないね

[46 名刺は切らしておりまして 2022/10/27(木) 13:52:50.05 ID:uZaRSFoC]

導入企業すべて公表しなさいよ

[47 名刺は切らしておりまして 2022/10/27(木) 13:59:59.54 ID:rFrrfhl4]

内部犯の可能性は低そう？

[48 名刺は切らしておりまして 2022/10/27(木) 14:18:04.45 ID:d3IhFeX6]

>>39
意味わかんないですｗ

[49 名刺は切らしておりまして 2022/10/27(木) 14:24:06.80 ID:d3IhFeX6]

JavaScriptで作った入力フォームは
フィールドに入力した文字列をそのフィールドから別のフィールドにフォーカスを変えるタイミングで、裏でサーバーに送信できる

送信ボタンを押すときは正規のサーバーに情報を送る一方で、フィールドのフォーカスを変えるたびに犯罪者グループのサーバーに情報を送るプログラムでしょ

WEBエンジニアなら誰でも書けると思うが

[50 名刺は切らしておりまして 2022/10/27(木) 14:58:11.90 ID:D78hp8qB]

>>34
商業施設でカード払いする人らは気をつけなきゃな
抜かれちゃうのよな
セキュリティ無いも同然みたい

[51 名刺は切らしておりまして 2022/10/27(木) 15:14:36.68 ID:/b/FEX4K]

>>39
3じゃないけど俺はできます！

[52 名刺は切らしておりまして 2022/10/27(木) 15:14:37.36 ID:Ni99A+lO]

>>27
サイトの改変から守るんだぞ

[53 名刺は切らしておりまして 2022/10/27(木) 15:42:57.39 ID:26aI83vY]

フィッシングサイトに騙されないよう
よく使うショッピングサイトはブックマークして
必ずそこからログインしましょう
↓
本サイトがそのままフィッシングサイトに

[54 名刺は切らしておりまして 2022/10/27(木) 17:25:45.13 ID:PvUWtlLg]

>>6
マイ糞ソフトのメールな
迷惑メールに放り込んどけよ
そのうちマイ糞ソフトが対策するだろ

[55 名刺は切らしておりまして 2022/10/27(木) 17:55:08.75 ID:KTsaNVUk]

内部とはいえませんでした

[56 名刺は切らしておりまして 2022/10/27(木) 18:35:44.60 ID:3o62Hvx/]

昔いた会社のphpのコードで、ユーザーが送信したフォームの内容を同じディレクトリ内に平文のテキストで全部保存してたのがあったな、Apacheのドキュメントルート以下で割とヤバかった
ペチパーの皆さんは使ってるWebサーバーの挙動もちゃんと勉強してくださいねw

[57 名刺は切らしておりまして 2022/10/27(木) 18:54:09.34 ID:Fli0sC46]

ある通販サイトだけに使ったメアドなのに
アマゾンと楽天から決済できませんでしたってメールが届くの(´･ω･`)ﾌﾛｰﾑﾛｼｱ

[58 名刺は切らしておりまして 2022/10/28(金) 08:15:25.73 ID:1QXwEVzG]

やばいユーキャンの通信教育講座でクレカ払いしてるわ
９時になったらカード会社に問い合わせしとこ

[59 名刺は切らしておりまして 2022/10/28(金) 08:25:26.09 ID:2ZPcjvz7]

クレカ情報流出…サービス導入していた「ABC-MART」ら各社が謝罪　少なくとも3000件以上報告
https://www.sponichi.co.jp/society/news/2022/10/27/kiji/20221027s00042000223000c.html

[60 名刺は切らしておりまして 2022/10/28(金) 11:31:02.16 ID:e0aRYhFE]

カード番号変わったら面倒だよね

[61 名刺は切らしておりまして 2022/10/29(土) 09:03:23.57 ID:lKKRXmT+]

>>34
ネットショッピングは全て3Dセキュア対応にしたらいいんじゃないの？それでは解決にならない？

[62 名刺は切らしておりまして 2022/10/29(土) 09:05:54.66 ID:W+iMt6CX]

>>3
とりあえず書いてみた感のある書き込み

[63 名刺は切らしておりまして 2022/10/29(土) 09:51:09.38 ID:xZaQ4GkD]

>>45
自宅のパソ等にカードリーダーを付けてスマホのタッチ決済する分には
スマホにある仮想カードは端末紐付けの別番号で処理してるので番号抜かれても悪さは出来ないのだが
そもそも楽天Edyですら対応してるサイトが少ないもんなあ

[64 名刺は切らしておりまして 2022/10/29(土) 09:52:06.88 ID:LOdiVeCz]

知ったかがドヤって撃沈しただけだろ
よくある話だからいつまでも引きずるなよ

[65 名刺は切らしておりまして 2022/10/29(土) 16:37:04.74 ID:JK/p6a3C]

昔にちゃんでカード情報流出してたうちの近所の家いって教えてあげようか迷ったわ。人形屋、上は賃貸マンション。

[66 名刺は切らしておりまして 2022/10/29(土) 16:42:25.86 ID:JK/p6a3C]

楽天カードみたいに使ったら速報くるカードって他に何かないのかね

[67 名刺は切らしておりまして 2022/10/29(土) 17:17:51.00 ID:Lq7L0lQw]

>>66
エポスとかも速攻で通知来るよ

[68 名刺は切らしておりまして 2022/10/29(土) 17:45:29.73 ID:7lh2SoB6]

>>66
三井住友も来るよ

[69 名刺は切らしておりまして 2022/10/31(月) 14:24:22.64 ID:PeEitjj5]

フォームが改竄　ABCマートなどでクレジットカードの番号やセキュリティコードなどが流失したおそれ [神★]
https://asahi.5ch.net/test/read.cgi/newsplus/1666831724/