「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説

「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説（1/2 ページ） ECサイトからクレジットカードや個人情報などの情報漏えいが相次いだ2019年。記憶に新しいところでは象印、19年前半ではヤマダ電機などのECサイトからクレジットカード情報が漏えいした。セキュリティ専門家の徳丸浩氏は、「情報漏えい事件が急増した1年だった」と振り返る。情報を盗もうとする攻撃者の最新手口については「自分でも気付けるか分からない」と状況は深刻だ。 サイトはクレジットカード情報を保持していないのに…… 徳丸氏は、19年に目立った攻撃手法として「入力画面の改ざん」と「偽の決済画面」という2つの手法を挙げる。 これらの攻撃を受けるECサイトは、決済方法について2種類に分けられる。1つは、クレジットカード情報をECサイトの画面で受けつつも直接決済サーバに送り、決済サー

[ockeghem]

取材を受けた内容が記事になりました

[deep_one]

『攻撃者は、ECサイト管理者が間違って誰でも見られる状態にしてしまっている「あるページ」から情報を抜き、管理コンソールにログイン』／ECサイトというよりEC-Cubeサイトか（笑）

[enemyoffreedom]

EC-CUBEのバージョン2以前か。PHP7.xが主流になればさすがにver4(3?)への移行が進むと思っていたが、なんかver2をPHP7に対応させるという話もあるようで

[makoto725]

手間はかかるけど昼などに商品をカートに突っこみ金額把握、帰りにコンビニでデビット用の銀行にお金入金して帰ったら決済という方法ずっととってる。 デビット不可の場合は可能な限りコンビニ決済

[atsushifx]

PayPal,amazon pay,楽天payなどの代行サービスで決済するのが安全かな。カード情報を入力することがリスクって感じだし。

[htnmiki]

クレジットカードとして使えるチャージ可能なプリペイドカードなんてあるのか。ほしいな。

[brusky]

“攻撃者側は、「出し子」のような末端を除けば逮捕された例がほとんどない。いわば「ヤリ得」の状態だ。”

[delphinus35]

ちょくちょく話題になるやつ。これもう、大手以外はカード使えないな。お店の方も振り込みの方が嬉しいだろうしそうするか。

[Listlessness]

Vプリカも開始から8年経つ 一覧 VISA https://www.visa.co.jp/pay-with-visa/find-a-card/prepaid-cards.html https://www.visa.co.jp/pay-with-visa/find-a-card/virtualprepaid-cards.html Mastercard https://www.mastercard.co.jp/ja-jp/consumers/find-card-products/apply-a-card/by-type-prepaid.html

[inazuma2073]

これあのディレクトリをあのディレクトリと同じ階層に置いちゃうとダメなやつじゃ？だとしたらレンタルサーバの仕様のせいだよなあ…？←いやそもそもEC-CUBEグッチャグチャだしな

[asiadehate]

これは怖い

[asakura-t]

「バーチャルカード作るべきか？」と思って確認したけど、色々楽そうなEPOSで作っておくかなぁ（あるいはKyashあたり？）

[ookitasaburou]

“徳丸氏は、19年に目立った攻撃手法として「入力画面の改ざん」と「偽の決済画面」という2つの手法を挙げる。 　これらの攻撃を受けるECサイトは、決済方法について2種類に分けられる。1つは、クレジットカード情報を

[mas-higa]

"EC-CUBEで構築したECサイトのセキュリティチェックを無償で行っているが「その依頼も中々来ない」と嘆く" これは使わない手はない

[fukken]

EC-Cube2.0は2007年リリースで、最新は4.0.3か。保守コストを支払わないストアが悪い。

[amino_acid9]

うぇ〜自衛のしようがほぼないってのはきっついな…

[miau]

"間違った導入方法を紹介しているページもある" 犯罪者がわざと間違った情報を公開してるケースもあったりするのかなー、とか考えてしまった（即座に「ハンロンの剃刀」とかツッコまれそうだけど）

[hiromark]

これはこわいな・・・

[Crone]

無償のセキュリティチェックが受けられるんだ。ページ開設時に必須にするとかできることはありそうだけど。

[mayumayu_nimolove]

ホンマ怖いなぁ

[stealthinu]

EC-CUBE2の脆弱性突いてカード情報不保持のものでも偽ページ挟まれて盗られる件の解説。

[UDONCHAN]

EC-cubeか…

[uunfo]

決済代行会社が自社のブランド価値を高めようとせず、ひたすら自社の社名やロゴを隠して黒子に徹してきたのがまずかったのでは。PayPalのように知名度を上げていくべきだった。／プリペイド知らない人いるのか…

[fmn10]

コメントのPayPalがいつもPayPayに見えてしまう

[jonuit]

カード番号漏れても、不正使用は請求されないしカード止めればいいだけなので、ちゃんと明細を毎月確認したうえでガンガンカード使う派

[IGA-OS]

EC-CUBEたいへんだなぁ

[impreza98]

そのサイトがEC-CUBEを使ってるか、バージョンいくつかを一目で見抜く方法ってあるのかしら（HTMLのソースに書いてある？

[daishi_n]

可能なものは全てPayPalに移した。Adobeが日本だとPayPal使えないんだよね

[morymorymory]

php eccube

[kabuquery]

ec-cubeはクソです

[lorenz_sys]

そもそも今時自前でECサイトを構築することはリスクがありすぎる。大手の仕組みを使う方がいい。バージョンがなんであれEC-CUBEなどまともな技術屋は使わないよ。元ホームページ屋レベルのWeb屋さんが広めたと思ってる。

[terazzo]

リンク型(リダイレクト型)にしてもらっておいて決済会社のドメイン名を覚えるしかない

[howdy39]

PayPalはもっと普及すべき

[hinaloe]

見出しがなぁ……（古の規格かなんかの話かと思ったらEC-CUBEの話だったときの顔）

[teppeis]

改竄された時点でお手上げ

[gcyn]

『最終的には正規のサーバで決済が完了するので、商品は通常通りにユーザーの手元に届く。「決済エラー」に違和感を持たない限りは、ユーザーは自分のクレジットカードなど各種情報が盗まれたことに気付かない』

[miquniqu]

偉い人に決済が安心できるＥＣサイトのリンク集作ってほしいとおもったけど、いにしえのYahoo!カテゴリがそれな気がする。

[ryunosinfx]

そりゃ、事実上の乗っ取りで機能として組み込まれたら利用者はわからないと思うよ。だから何だと、そんなにホイホイクレカ番号入れちゃって大丈夫かい？ここは既に誰かに乗っ取られてるサイトかもしれないんだぜ？

[hryord]

クレジットカードとして使えるチャージ可能なプリペイドカード→kyash