【IT】ショッピングサイトのプログラム改ざん クレジット情報流出か [ムヒタ★]

[0001 ムヒタ ★ 2022/10/27(木) 06:01:57.53 ID:hzxIMIKP]

東京のIT企業が開発し、複数のショッピングサイトなどで導入されている入力フォームのプログラムが何者かに改ざんされ、少なくとも3000件以上のクレジットカードの情報が流出したおそれがあることがわかりました。

改ざんされたのは、東京 港区にあるIT企業「ショーケース」が開発し、ショッピングサイトなどで導入されている入力フォームのサービスのプログラムです。

会社によりますと、ことし7月、取引先から指摘を受け調査した結果、3種類のサービスのプログラムが外部からの不正アクセスによって改ざんされていたことがわかったということです。

これらのサービスは、さまざまなショッピングサイトなどに少なくとも5000以上導入されているということで、このうち一部のサイトで、入力された情報が外部に流出したおそれがあるとしています。

このサービスを利用していた靴の販売などを行っている「エービーシー・マート」によりますと、ことし7月24日から26日までに自社サイトで入力フォームを使った利用者のおよそ2300件のクレジットカードの番号やセキュリティコードなどが流失したおそれがあるとしているほか、「ユーキャン」では200件、「富士フイルムイメージングシステムズ」は500件余り、それに「出光クレジット」もクレジットカード情報などが流出したおそれがあると公表しています。

「ショーケース」は、「関係者の皆様には多大なるご迷惑をおかけする事態となり、深くおわび申し上げます」などとコメントしています。
2022年10月27日 5時23分
https://www3.nhk.or.jp/news/html/20221027/k10013871221000.html

[0002 名刺は切らしておりまして 2022/10/27(木) 06:21:01.00 ID:p5AS2mEC]

流石IT後進国日本

[0003 名刺は切らしておりまして 2022/10/27(木) 06:30:43.84 ID:+w0lc5O8]

まさか平文で保存してたとか?

[0004 名刺は切らしておりまして 2022/10/27(木) 06:46:50.63 ID:JfU0STjw]

非保持化してもフォームそのものを変えられるとアウトだから対策に困る

[0005 名刺は切らしておりまして 2022/10/27(木) 07:02:22.29 ID:B+uI/6pp]

やっぱ

[0006 名刺は切らしておりまして 2022/10/27(木) 07:38:24.24 ID:PwI/bDBT]

被害企業名を全部公表してほしい。
アマゾンを語った偽メールが毎日届くようになったのと
関係ある？

[0007 名刺は切らしておりまして 2022/10/27(木) 07:40:02.37 ID:jYJCFoSa]

マスキング機能使えよ

[0008 名刺は切らしておりまして 2022/10/27(木) 07:42:09.58 ID:TovTXplz]

>>6
多分ない。
漏洩したなら、そんなまどろっこしいことせずににお前のカード情報使う。

[0009 名刺は切らしておりまして 2022/10/27(木) 07:58:52.05 ID:Bfrg+2Yk]

>>6
それはクレカ情報じゃなくメルアドが漏洩したんだよwww

[0010 名刺は切らしておりまして 2022/10/27(木) 07:59:43.81 ID:tVU0IrQY]

個人情報をかっさらい続けるくせに
気軽に漏洩させて、
ごめんなさいでおわりにする

最初から漏洩していいや、ってかんじなんだろ
ゴミクズどもめ

[0011 名刺は切らしておりまして 2022/10/27(木) 08:01:36.91 ID:CfNkl8NS]

世界よ、これが日本だ

[0012 名刺は切らしておりまして 2022/10/27(木) 08:10:29.91 ID:axpHpqR5]

FANZAは？FANZAは大丈夫なの！？

[0013 名刺は切らしておりまして 2022/10/27(木) 08:20:20.38 ID:JAixPlB0]

オープンソースのやつを元にしたの?

[0014 名刺は切らしておりまして 2022/10/27(木) 08:53:06.11 ID:WeTvDMpq]

富士フイルムはまだ「システムメンテナンスのため停止中」としか言って無いな

[0015 名刺は切らしておりまして 2022/10/27(木) 08:55:43.42 ID:WeTvDMpq]

>>6
この会社がコンビニ払いシステムもやってたら多少はあり得るか
メタップスペイメントがそうだった

[0016 名刺は切らしておりまして 2022/10/27(木) 09:04:34.10 ID:9WfzHShj]

ディスクユニオン死ね

[0017 名刺は切らしておりまして 2022/10/27(木) 09:28:26.34 ID:ZdlObw7E]

日本のeコマースはなぜドメスティックな決済スキームを使いたがるのか
素直にAmazon PayとかPayPalとかにしとけばいいのに

[0018 名刺は切らしておりまして 2022/10/27(木) 09:36:32.39 ID:LHMHpWYK]

いっつ　じゃぽんていすつ～

[0019 名刺は切らしておりまして 2022/10/27(木) 09:36:59.95 ID:o4S7NFeb]

なんでセキュリティコード保存してんの？
馬鹿なの？

[0020 名刺は切らしておりまして 2022/10/27(木) 09:38:05.94 ID:tCj44wmj]

>>17
raypalはエロ排除してるからダメだな

[0021 名刺は切らしておりまして 2022/10/27(木) 09:47:27.72 ID:xcYHDkv/]

>>19
入力フォームの内容抜かれてるんだから、保存してるとかそういう話じゃないぞ。

[0022 名刺は切らしておりまして 2022/10/27(木) 09:49:32.10 ID:nc68VPyz]

>>3
フォームなんだから保存する以前の問題じゃね

[0023 名刺は切らしておりまして 2022/10/27(木) 10:05:37.40 ID:Ni99A+lO]

WAFを導入してなかったのか。。。
馬鹿なの？

[0024 名刺は切らしておりまして 2022/10/27(木) 10:06:30.80 ID:umtqEMDK]

>>3
馬鹿は黙っとけ

[0025 名刺は切らしておりまして 2022/10/27(木) 10:07:09.70 ID:umtqEMDK]

>>7
馬鹿は黙っとけ

[0026 名刺は切らしておりまして 2022/10/27(木) 10:07:50.60 ID:umtqEMDK]

>>19
馬鹿は黙っとけ

[0027 名刺は切らしておりまして 2022/10/27(木) 10:09:06.32 ID:umtqEMDK]

>>23
馬鹿は黙っとけ
サイト改変されてるのにWAFが何の役に立つんだよ

[0028 名刺は切らしておりまして 2022/10/27(木) 10:10:20.30 ID:umtqEMDK]

ここまで指摘してるやつ的外れの馬鹿しか居ないの草
素人の知ったか恥ずかしい

[0029 名刺は切らしておりまして 2022/10/27(木) 10:15:41.28 ID:HJ3nMzAA]

そもそも今時なんでプログラムの改竄なんてされるんだよ
セキュリティガバガバ過ぎるだろ

[0030 名刺は切らしておりまして 2022/10/27(木) 10:21:35.11 ID:1GOljUEu]

記事そのままだとサーバに侵入されてスクリプト自体を書き換えられていたように読み取れるね。

[0031 名刺は切らしておりまして 2022/10/27(木) 10:22:29.28 ID:PwI/bDBT]

企業サイトを見てきたら
クラウド、顔認証サービスとか手広くやっているみたいで。
私にはどれとどれが関連しているかもわからないけど
デジタル社会推進に影響は大きそう。

[0032 名刺は切らしておりまして 2022/10/27(木) 10:22:30.16 ID:1GOljUEu]

あるいは開発者の端末もあり得るか

[0033 名刺は切らしておりまして 2022/10/27(木) 10:45:58.48 ID:2RuMeqFW]

だから実店舗で現ナマ払いが一番安全

[0034 名刺は切らしておりまして 2022/10/27(木) 11:10:34.52 ID:tHXHHw6x]

いい加減クレカのセキュリティを抜本的に変えろよ
盗んだ番号だけでショッピング出来るとかザルすぎ

[0035 名刺は切らしておりまして 2022/10/27(木) 11:14:13.75 ID:nc68VPyz]

>>34
PayPal使うなり回避法はあるのに使わないんだから仕方ない

[0036 名刺は切らしておりまして 2022/10/27(木) 11:30:20.47 ID:Gmhh7tt8]

ネットでもamazon payかpaypayのQRコードに対応してほしいわ
そうすればクレカ情報は伝わらないだろうからな
板クレカの変更とかめんどくさいぞ
なんせ受け取りが必要だから

[0037 名刺は切らしておりまして 2022/10/27(木) 11:30:42.55 ID:Gmhh7tt8]

>>35
案外対応していないのがpaypal

[0038 名刺は切らしておりまして 2022/10/27(木) 11:33:50.17 ID:nc68VPyz]

>>37
今の所PayPalとd払いでネット決済は間に合ってるわ

[0039 名刺は切らしておりまして 2022/10/27(木) 11:56:41.12 ID:9d8TSN/R]

>>3
逆に問いたいんだけど
「モールス信号で氏名と生年月日を入力してください」って要請されたらお前さん対応できんの？

[0040 名刺は切らしておりまして 2022/10/27(木) 12:07:00.67 ID:lJLyZGL8]

Revolutでサイト毎にバーチャルカードを作ってそれを登録してるわ
全部同じカード使ってるとこういう時変えるの面倒だからな
Revolutはバーチャルカード毎に月の上限も設定できるしまー便利
デビットカードだけど

[0041 名刺は切らしておりまして 2022/10/27(木) 12:28:41.07 ID:OqZKKGs6]

>>1
さすが東南アジア以下のIT後進国だぜ
ここまでザルなのは海外ではもうほとんど見ないからな

[0042 名刺は切らしておりまして 2022/10/27(木) 12:36:36.63 ID:xqwaADr2]

プログラムが外部から改ざんというのがよくわからない
GITサービスのパスワードが漏れたとそういう系？

[0043 名刺は切らしておりまして 2022/10/27(木) 12:39:55.03 ID:xqwaADr2]

手口を公開したら模倣犯が出るから詳細は書けんのかもしれんが何をどうしてプログラムを書き換えたか分からんな

[0044 名刺は切らしておりまして 2022/10/27(木) 13:00:36.39 ID:HJ3nMzAA]

>>42
Web サーバーの脆弱性を利用してサーバーのスクリプトファイルを書き換えたって言うのがありがちなんだけど今時インターネットに公開するサーバーでそんなアホな管理してる奴がいるとは思いたくない

[0045 名刺は切らしておりまして 2022/10/27(木) 13:25:02.42 ID:vn8sTcC8]

これ個人は防ぎようがないね

[0046 名刺は切らしておりまして 2022/10/27(木) 13:52:50.05 ID:uZaRSFoC]

導入企業すべて公表しなさいよ

[0047 名刺は切らしておりまして 2022/10/27(木) 13:59:59.54 ID:rFrrfhl4]

内部犯の可能性は低そう？

[0048 名刺は切らしておりまして 2022/10/27(木) 14:18:04.45 ID:d3IhFeX6]

>>39
意味わかんないですｗ

[0049 名刺は切らしておりまして 2022/10/27(木) 14:24:06.80 ID:d3IhFeX6]

JavaScriptで作った入力フォームは
フィールドに入力した文字列をそのフィールドから別のフィールドにフォーカスを変えるタイミングで、裏でサーバーに送信できる

送信ボタンを押すときは正規のサーバーに情報を送る一方で、フィールドのフォーカスを変えるたびに犯罪者グループのサーバーに情報を送るプログラムでしょ

WEBエンジニアなら誰でも書けると思うが

[0050 名刺は切らしておりまして 2022/10/27(木) 14:58:11.90 ID:D78hp8qB]

>>34
商業施設でカード払いする人らは気をつけなきゃな
抜かれちゃうのよな
セキュリティ無いも同然みたい

[0051 名刺は切らしておりまして 2022/10/27(木) 15:14:36.68 ID:/b/FEX4K]

>>39
3じゃないけど俺はできます！

[0052 名刺は切らしておりまして 2022/10/27(木) 15:14:37.36 ID:Ni99A+lO]

>>27
サイトの改変から守るんだぞ

[0053 名刺は切らしておりまして 2022/10/27(木) 15:42:57.39 ID:26aI83vY]

フィッシングサイトに騙されないよう
よく使うショッピングサイトはブックマークして
必ずそこからログインしましょう
↓
本サイトがそのままフィッシングサイトに

[0054 名刺は切らしておりまして 2022/10/27(木) 17:25:45.13 ID:PvUWtlLg]

>>6
マイ糞ソフトのメールな
迷惑メールに放り込んどけよ
そのうちマイ糞ソフトが対策するだろ

[0055 名刺は切らしておりまして 2022/10/27(木) 17:55:08.75 ID:KTsaNVUk]

内部とはいえませんでした

[0056 名刺は切らしておりまして 2022/10/27(木) 18:35:44.60 ID:3o62Hvx/]

昔いた会社のphpのコードで、ユーザーが送信したフォームの内容を同じディレクトリ内に平文のテキストで全部保存してたのがあったな、Apacheのドキュメントルート以下で割とヤバかった
ペチパーの皆さんは使ってるWebサーバーの挙動もちゃんと勉強してくださいねw

[0057 名刺は切らしておりまして 2022/10/27(木) 18:54:09.34 ID:Fli0sC46]

ある通販サイトだけに使ったメアドなのに
アマゾンと楽天から決済できませんでしたってメールが届くの(´･ω･`)ﾌﾛｰﾑﾛｼｱ

[0058 名刺は切らしておりまして 2022/10/28(金) 08:15:25.73 ID:1QXwEVzG]

やばいユーキャンの通信教育講座でクレカ払いしてるわ
９時になったらカード会社に問い合わせしとこ

[0059 名刺は切らしておりまして 2022/10/28(金) 08:25:26.09 ID:2ZPcjvz7]

クレカ情報流出…サービス導入していた「ABC-MART」ら各社が謝罪　少なくとも3000件以上報告
https://www.sponichi.co.jp/society/news/2022/10/27/kiji/20221027s00042000223000c.html

[0060 名刺は切らしておりまして 2022/10/28(金) 11:31:02.16 ID:e0aRYhFE]

カード番号変わったら面倒だよね

[0061 名刺は切らしておりまして 2022/10/29(土) 09:03:23.57 ID:lKKRXmT+]

>>34
ネットショッピングは全て3Dセキュア対応にしたらいいんじゃないの？それでは解決にならない？

[0062 名刺は切らしておりまして 2022/10/29(土) 09:05:54.66 ID:W+iMt6CX]

>>3
とりあえず書いてみた感のある書き込み

[0063 名刺は切らしておりまして 2022/10/29(土) 09:51:09.38 ID:xZaQ4GkD]

>>45
自宅のパソ等にカードリーダーを付けてスマホのタッチ決済する分には
スマホにある仮想カードは端末紐付けの別番号で処理してるので番号抜かれても悪さは出来ないのだが
そもそも楽天Edyですら対応してるサイトが少ないもんなあ

[0064 名刺は切らしておりまして 2022/10/29(土) 09:52:06.88 ID:LOdiVeCz]

知ったかがドヤって撃沈しただけだろ
よくある話だからいつまでも引きずるなよ

[0065 名刺は切らしておりまして 2022/10/29(土) 16:37:04.74 ID:JK/p6a3C]

昔にちゃんでカード情報流出してたうちの近所の家いって教えてあげようか迷ったわ。人形屋、上は賃貸マンション。

[0066 名刺は切らしておりまして 2022/10/29(土) 16:42:25.86 ID:JK/p6a3C]

楽天カードみたいに使ったら速報くるカードって他に何かないのかね

[0067 名刺は切らしておりまして 2022/10/29(土) 17:17:51.00 ID:Lq7L0lQw]

>>66
エポスとかも速攻で通知来るよ

[0068 名刺は切らしておりまして 2022/10/29(土) 17:45:29.73 ID:7lh2SoB6]

>>66
三井住友も来るよ

[0069 名刺は切らしておりまして 2022/10/31(月) 14:24:22.64 ID:PeEitjj5]

フォームが改竄　ABCマートなどでクレジットカードの番号やセキュリティコードなどが流失したおそれ [神★]
https://asahi.5ch.net/test/read.cgi/newsplus/1666831724/