ショッピングサイト決済時だけ偽画面 クレジット情報を盗む | NHKニュース

インターネットのショッピングサイトが改ざんされ、商品を購入しようとすると決済のときだけ偽の画面が表示され、クレジットカードの情報を盗まれる被害が相次いでいて、サイバーセキュリティー団体が注意を呼びかけています。 これは、去年半ばから被害が相次いでいる手口で、ショッピングサイトでクレジットカードを使って商品を購入しようとすると、決済のときだけ偽の画面が表示され、入力したカード情報などが盗まれます。 被害は東京の電子書籍販売会社や松山市のタオル販売会社など主に中小企業のサイトで起きています。 サイバーセキュリティー団体の「日本サイバー犯罪対策センター」によりますと、去年半ばからことし10月末までで、少なくともおよそ100の企業のサイトが改ざんされ、盗まれたカード情報は10万件に上るということです。 「日本サイバー犯罪対策センター」経済・金融犯罪対策チームの佐藤朝哉さんは「カード情報を盗まれても

[monbobori]

いや、あの、サイト名出してくれよ。誘導の仕組みとか詳しく。防ぎようがない。

[Panthera_uncia]

注意しようがなくね？

[rarirurero11]

振込だとフィッシングされてもお金は戻って来ないのでは？むしろ保障のあるクレカのほうが安心かなあと思ってる

[silverscythe]

サイトで発生するっていうか、前段階で何かに侵入されててリンクを書き換えられてるんじゃないのか？

[tach]

まずい。これは絶対騙される。中小のショッピングサイトでは安易にクレジットカードを使わず敢えて銀行振込にした方が無難だな

[kathew]

決済時に別ドメイン（カード会社の3Dセキュアとか、決済システム自体が別ドメインだったりとか）をまたぐサービスもあるからURLを見てもわからないかも…／カート画面に広告を入れてる所がJS経由でやられたとかかな？

[taguch1]

決済分の金額上限にしたヴァーチャルカードを使うといい。

[ot2sy39]

サイト改竄だね。EC-CUBEという決済システムの2系とやらが危ないらしい（公式情報→ https://www.ec-cube.net/news/detail.php?news_id=330 ）。公式でもサイト管理者向けの注意喚起だけで利用者向け情報はないな。対策不能なのかも。

[osada5963]

「日本サイバー犯罪対策センター」の情報 /「EC-CUBEの２系バージョンを利用するＥＣサイトを改ざんし、クレジットカード情報を窃取する手口を確認しています。」　https://www.jc3.or.jp/topics/credit_card.html

[takeishi]

年末セール向け記事なのかな／以前の報道で会社名入りの物有ったhttps://www.tokyo-np.co.jp/article/national/list/201905/CK2019050902000278.html

[karkwind]

正規のサイトをハッキングされたんだら、URLの確認は無理だろ?

[richard_raw]

決済時に別ドメインに飛ばされるショップって結構ある……。注意しようがないような。代引きにするしかないのか。

[kaiton]

昨年10月の徳丸さんの記事 https://blog.tokumaru.org/2018/10/ec.html 2018年分一覧 https://blog.tokumaru.org/2018/12/2018.html 2019年前半分一覧 https://blog.tokumaru.org/2019/05/credit-card-information-leak-incidents-2019-1-5.html

[necozine]

中小のショッピングサイトかな。怖い…楽天かAmazonしか使ってないから…大丈夫？か？

[malein]

プラットフォーマーのほうがまだ信頼できる例

[daybeforeyesterday]

うーむ

[atsushifx]

そろそろ、電子決済専用にバーチャルカードをECサイトごとにつくれるサービスがほしい。PayPalみたいな決済代行と3Dセキュアのような2段階認証込みで

[mono_i_love]

ショッピングサイト側が改ざんされているケースなので消費者側で回避する手段がない…限度額が低くスマホアプリから停止・再発行が容易なKyashのようなバーチャルカード使う位しか対策が思いつかない

[sawarabi0130]

"東京の電子書籍販売会社や松山市のタオル販売会社" サイト名あった。５月じゃないか… https://www.tokyo-np.co.jp/article/national/list/201905/CK2019050902000278.html

[kikinight]

そうなんだURLに注意していこう。

[terlen0]

一度目は間違えたものを入れたら良いさ。

[ponpon_qonqon]

↓これだけブコメ集まっててなんで頓珍漢なことばっかり言ってるんだろう…。ショッピングサイトのコンテンツが改ざんされる環境下での手法。サイトが中小だろうが大手だろうが、決済手段が何だろうが関係ない！

[bean_hero]

これは引っ掛かった直後に気付けばまだマシな方だな

[masadasu]

サイトが改竄されてないか二つのサーバーで監視する必要があるのでは？最近だと結構普及してる技術でしょ。つまりメインのサーバーと監視用のサーバーに同じファイルを置いて書き換えてないか監視する奴。

[dollarss]

手口を紹介してくれないと対策も取れない。またトレンド真っ黒のマッチか？！

[a20130517]

注意してほしい（笑）

[homarara]

サーバ側のWebアプリを改竄できなきゃ無理な気がする。対象が中小企業って事であれば、OpenSSLなんかの既知のセキュリティホールを適切にアップデートしないで残してる系の企業かな。

[Shin-JPN]

この手口に多いのはサイト改竄だが中間者攻撃ならば必ずしもサイトハックは必要ないので「〇〇サイトなら安全」とも言えない。一般消費者の防衛手段は「EVSSLサイトでなければ一切入力しない」と思い切る位しかない

[shinichikudoh]

どのサイトか書かない限り「NHK公式ショップ NHKエンタープライズ」のことだと思われても仕方ない。

[hotelsekininsya]

サイト側でやられたら防ぎようがないね。知識としてこれを知っていても決済時にエラーになった瞬間にしかわからずそれではもう遅いわけだし。

[impreza98]

これ予防しようと思ったら、大手サイトだけ使うようにするか、PayPalとか対応してるとこだけ使うしか無いのでは……

[arisane]

Amazonがこれやられてたとしても公表しないだろうしな(先日の他人の履歴出てくる問題のやつとか)

[david_lynx]

この絵、ぜんぜん説明になってないんだけど。

[isshiki0022]

どこがやられてるのかわからなかったら買い物できないじゃないか。

[shiodoki-gg]

Paypal使っとけってことかなあ

[tusagi]

クレジットカードも、ネット決済の場合は、2段階認証、必須にしてほしいわ。

[grover]

何度も違うお客で決済エラーが続くようなら一旦決済を止めて改竄を調査しないとまずいかもね。

[ohaan]

注意喚起をしても何を注意したらいいのか困ってしまうセキュリティインシデントがこれからどんどん増えてくるんだろうなぁ・・・・。

[paperclipsquare]

PCならともかくスマホだとURL確認しづらいからあまり見てないぞ…

[memoyashi]

chrome最新版使ってれば警告とか出るのかな？それすらも回避されるのであればもうお手上げ。