徳丸浩の日記: ECサイトからクレジットカード情報を盗み出す新たな手口

エグゼクティブサマリ 聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによると、漏洩に使われた手口は従来とは異なるもので、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであった。 はじめに 今年の9月4日に聖教新聞社の通販サイトSOKAオンラインストアからクレジットカード情報漏洩の可能性がリリースされました。以下は聖教新聞社から運営委託されているトランスコスモス株式会社のリリースです。 「ＳＯＫＡオンラインストア」の件 このたび、弊社が聖教新聞社様より運営を委託されている「ＳＯＫＡオンラインストア」において、クレジットカード情報を入力して商品をご注文いただいた一部のお客さまのクレジットカード情報が、第三者によって不正に取得された可能性があることが発覚い たしました。 http

[ockeghem]

日記書いた

[napsucks]

ユーザ側ではどーしろってんだこれ状態だな

[TakamoriTarou]

偽画面で入力させエラー扱いで本物に戻す、と言う手口はログインIDとパスワードなどを盗む攻撃では結構あったけど、それがクレカに対しても行われる、と。まぁ根本的に番号入るだけのクレカと言う仕組みがもう古い。

[suika3417]

中小が独自ECサイトなんてメンテ費用であっぷあっぷだろうし、素直にモールサイトで売ろう

[kabuquery]

そもそも偽画面作られるのが問題のような

[the-third-leaf]

実例を挙げないと上は動かないから、こういった情報はホント有難いです。

[deep_one]

新しいのかな？／データを保持していると一度不正アクセスされた時点で過去のデータを持っていかれるから被害が大きくなる。このタイプだと「いつからいつまでに決済をした人」に被害が限定されるから多分マシ。

[umirinu]

これ怖いな

[homarara]

新たな手口も何も、元のWebページ（ECサイト）を改ざんされて攻撃者が作ったファイルに差し替えられてる時点でお話にならんだろ。それもうサーバの中身丸ごとぶっこ抜かれたついでに消去されてもおかしくない状況だ。

[heniha]

"今後のクレジットカード情報漏洩事件の主流となる可能性"

[nilab]

ECサイトからクレジットカード情報を盗み出す新たな手口 | 徳丸浩の日記

[sachiko-kame]

"決済に関して"

[akatakun]

リダイレクト型決済は、ECサイト側にカード情報入力画面がないことから、他の方法にくらべて相対的に安全である。いったん「決済エラー」を表示した上で、正常系の決済画面に誘導する

[naga_sawa]

サイト側が乗っ取られてるとなるとどうしようもないな/カード番号抜くだけじゃなく悪意のスクリプト突っ込んだりフリーハンドなわけだし

[jitsu102]

「最近のECサイトからのクレジットカード情報漏洩は、サイトの改ざんを伴うものが大半であることを考えると、ファイルパーミッションの設定と改ざん検知システムの導入は非常に効果があると考えられます。」

[tmatsuu]

ああ、決済だけ別ドメインに飛ぶオンラインストアってたまにあるね。厳しい。

[localnavi]

利用者からすると「こんなもんどうやって対策しろというのだ！」。サイト運営者からすると「こんなもんどうやって対策しろというのだ！」と言いたくなる。かといってカード決済止めるのもなあ。

[mas-higa]

Web での決済を控えるしかない

[shidho]

入力情報が間違ってるふりをしてインターフェース乗っ取るの、30年以上前の児童書で読んだ。トロイ仕掛けるのに使うアカウントは会社見学のショルダーハッキングで手に入れてた。あれなんの本だったかな。

[witchstyle]

(2018/10/15のエントリ) 決済画面を別サーバにしても、決済画面へいく手前に脆弱性があったら意味がないって、まあ、当然といえば当然だけど……安く作ろうとすると難しいだろうね。

[smbd]

エラーにした後、正規の決済事業者サイトに遷移させるとか、いろいろ考えるなぁ。

[lli]

創価のカードホルダー情報とかかなり金を引っ張れそうだな

[ry_mizuki]

サイトの遷移先をのっとるのか…

[kurakano]

改ざん可能ではあったものの0から思いついたり注意するにはややコロンブスの卵的な手法。利用者としては入力画面の証明書を確認することか。URLはJSで書き換えれるはずだし。

[RabbitBit]

ECサイトのプログラムソースの書き換え自体は新しい手口ではないけれども、不正サイトからの画面遷移をユーザに不信感が持たれない形で設計したのは巧妙。

[pure_flat]

「紹介した手口は、クレジットカード情報「非保持化」では対策できないものであり、今後のクレジットカード情報漏洩事件の主流となる可能性があります。」

[t-tanaka]

そもそも，サーバー上のファイルを入れ替えられてしまってる時点で論外。何でもかんでも抜き放題だし，ユーザー側でも気がつきようがない。

[youichirou]

カード情報窃取の手口としては新しいけど、やってることは脆弱性を突いてファイルを放り込んでサイトを改竄することなので技術的には新しいわけではないのかな。ともかく発覚もしづらいし厄介。

[pmint]

うーん？ これを「盗み出す」とか「新たな手口」とか言うの？ サイトの改ざんとフィッシングの併用。記事の導入部分を一般人の目線で語るのは基本だけど、結論までそんな調子じゃ解説にならない。

[mohno]

ページが改竄できるなら、カード入力させたところから、情報の送信→正しいカード情報入力まで一気に進められないものかという気はするが、何かハードルがあるのかな。

[y-kawaz]

サイト改竄されてる時点でどんなタイプのフィッシングもやりたい放題な案件。

[fashi]

ハッキングされる時点で何やってても無意味だろう

[nismit]

これやられたら、多分気づかない。エラー出して正しいところにリダイレクトされるなら2回目で普通に決済出来るし。EC系は難しいよね、こういうメンテナンスとか。

[type-r]

手口もなにも、サーバーに侵入された時点で終わってるだろ。セキュリティーがガバガバすぎる。

[II-O]

ユーザーは防ぎようが無いね。

[ita]

欧州共同体

[l-_-ll]

そうか……

[Dragoonriders]

新たなというが、サイト改ざんによるものなら新たでもないような？　かなり巧妙で普通にはわからんということだろうが。

[tailtame]

ウェブサイト改ざんされるならやりたい放題状態か。

[endok]

サーバ侵入できてる前提ながら、今の自分の担当サイトがちゃんと気付けるか？と言われると多分気づけないんだろうなあ