「味市春香なごみ」のECサイトで不正アクセス被害 クレカ情報1万6407件など漏えいか
福岡市内で飲食店を経営する、なごみ(福岡市博多区)は4月22日、ECサイト「味市春香なごみオンラインショップ」が第三者からの不正アクセスを受け、利用者のクレジットカード情報1万6407件を含む個人情報が漏えいした可能性があると発表した。 該当するのは、2021年1月27日から23年5月15日までの間に同サイトでクレジットカード決済を行ったユーザー。漏えいした可能性のある情報は以下の通り。なお、一部でクレカ情報が不正利用された可能性のあるケースも確認しているという。 クレジットカード名義人名 クレジットカード番号 有効期限 セキュリティコード 注文情報(氏名・住所・メールアドレス・電話番号・FAX番号等含む) 会員登録情報(氏名・住所・メールアドレス・電話番号・FAX番号等含む) メール送信履歴(メール本文履歴内に、注文情報・会員情報・配送先情報含む) なごみは該当する利用者に対して電子メー
ATMから無限に現金を引き出せるバグ エチオピア国営銀行で発生 返金呼び掛け
エチオピア国営銀行のATMで、現金を上限なしに引き出せる不具合が発生した。ATMを管理していた国営銀行のエチオピア商業銀行は3月21日(現地時間)、自分が持つ以上の現金を引き出した利用者に対して、自主返還するよう呼び掛けた。 地元メディア「Fortune」などの報道によると、障害が発生したのは16日(現地時間)。不具合によって、預金者は口座残高を上回る金額をATMから引き出すことが可能になり、数時間で4000万ドル以上の現金が引き出されたり、他行へ送金されたりしたという。 同行は21日、公式Xアカウントにて「自分のものではないお金を受け取ったり、別の口座に移したりした人は、来週土曜日までに自主的に返還してほしい」と投稿。公式Webサイトでは、指定期間内に返還しなかった場合、段階的に名前や顔写真を公表する他、最終的には法的措置も視野に入れるとしている。
耐量子計算機暗号を搭載したICカード、凸版とNICTが開発
凸版印刷と情報通信研究機構(NICT)は、量子コンピュータでも解読が困難な耐量子計算機暗号(Post-quantum cryptography)を搭載したICカード「PQC CARD」を開発し、その有効性を検証したと発表した。 次世代の電子署名方式「CRYSTALS-Dilithium」(クリスタル・ダイリチアム)を採用。世界で初めてICカードに実装した。 NICTが運用するテストベッド「保健医療用の長期セキュアデータ保管・交換システム」で、医療従事者のICカード認証と電子カルテデータへのアクセス制御に適用し、その有効性の検証に成功したという。 ICカードのリーダライタや通信プロトコルなどは、現行暗号方式を実装した既存のICカード用から変える必要がなく、ハードウェアもそのまま使えるという。 2025年には医療や金融などの用途で限定的に実用化し、2030年に本格的な提供開始を目指す。また、高
PayPayが不正利用率を公開 クレカの50分の1
「3Dセキュア2.0」では、契約のクレジットカード会社にあらかじめ登録した通知先などでワンタイムパスワードを受け取り、本人認証を行う。登録したパスワードで本人認証を行う従来の3Dセキュア1.0と比較すると、パスワード忘れの心配もなくより安全、スムーズに本人認証を行うことができる。 昨今フィッシングサイトによる不正利用の被害が増加傾向にある中、同社ではこれまでも不正利用対策として、利用しているスマートフォン以外の端末からアクセスがあった場合にはSMSで通知する2要素認証や、金融機関口座を登録する際の「eKYC」の導入を行ってきた。 これらの施策などの効果により、「PayPay」の不正利用発生率は0.001%にとどまり、クレジットカードの0.047%と比較してセキュリティの高さを訴えた。不正利用の金額ベースではクレジットカードの500分の1以下だとしている。同社は、今回の「3Dセキュア2.0」
「ドコモ口座」終了へ 機能は「d払い」アプリに統合、名前も「d払い残高」に
NTTドコモは8月30日、決済サービス「ドコモ口座」について、サービス単体としての提供を10月25日に終了すると発表した。同社の決済サービス「d払い」に機能を統合し、名前も「d払い残高」に変更。「d払いに機能を一本化することで、サービスをより分かりやすく使ってもらう」(同社)という。 d払いアプリ上に従来のドコモ口座の機能として残るのは、残高を携帯料金の支払いに利用できる機能のみ。Visaプリペイドカードに対応するECサイトで口座の残高を使える機能や、チャージ額を翌月の電話料金に上乗せする形の送金機能は終了する。 これまでWebサイトやドコモ口座のアプリを使っていたユーザーは、利用規約に同意するなどの手続きを行うことでd払いのアプリにデータや残高を引き継げるという。 ただし、フィーチャーフォン向けのインターネットサービス「iモード」でドコモ口座を利用しているユーザーは、d払いのアプリを利用
Mastercard、磁気ストライプを段階的に廃止へ
Mastercardは米国時間8月12日、デビットカードとクレジットカードの磁気ストライプの段階的廃止を2024年に開始し、2033年までに完了する見込みだとプレスリリースで明らかにした。チップを搭載するカードに移行するという。 米国の銀行では2027年から、磁気ストライプ付きのカードを発行する義務がなくなる。Mastercardは2029年までに、磁気ストライプ付きカードの新規発行を終了する見込みだ。ただし、米国とカナダで発行するプリペイドカードは例外となる。 磁気ストライプは1960年代に導入され、カードの裏側にラミネート加工された磁気テープに、利用者の銀行口座情報を暗号化して記録することが可能になった。Mastercardによると、生体認証カードを採用することで、セキュリティがさらに強化されるという。
メルぺイ、一部加盟店での決済を停止 フィッシングメール急増で不正ログインが発生
メルカリは6月8日、モバイル決済サービス「メルペイ」を使った一部加盟店での支払いを停止した。同社をかたるフィッシングメールやSMSが急増し、ユーザーのメルペイアカウントにログインされて残高を不正利用される例を確認したことから、被害の拡大を抑えるためとしている。店名や件数は非公開。再開時期は未定で、後日告知する。 メルカリが確認しているフィッシングメールやSMSは、フリマアプリ「メルカリ」の正しいリンクを記載しているものの、本文では別のURLに誘導する内容という。実際に誘導先で情報を入力してしまい、被害を受けたユーザーもいるとしている。 同社は「メルカリのアプリ以外では、個人情報や認証情報の入力を求めることはない」として、不審なメールやSMSを受け取った際はリンクを開かず削除するよう呼び掛けている。 万が一、不審なサイトに個人情報などを入力してしまった場合は、アプリの強制ログアウト機能を使う
7pay“パスワード変更を” 「覚えのない取り引き」相次ぐ | NHKニュース
コンビニ最大手のセブン‐イレブン・ジャパンのスマホ決済サービス、「7pay」で利用者から身に覚えのないクレジットカードの決済が行われているという連絡が相次いでいます。会社は、機能の一部を停止し、利用者に注意を呼びかけています。 会社によりますと3日になって、利用者から「7pay」で身に覚えのないクレジットカードの決済が行われているという連絡が相次いでいるということです。 このため会社は、3日午後4時以降、クレジットカードやデビットカードから専用アプリに入金する機能を一時的に停止し、詳しい状況を確認しています。 また、会社は、利用者に対して「7pay」の利用履歴を確認し身に覚えのない取り引きがあれば連絡するよう呼びかけるとともに、パスワードを使い回している人は変更するよう呼びかけています。 問い合わせ先は「7payお客様サポートセンター緊急ダイヤル」の0570-012-113で24時間対応す
ヤマダ電機、不正アクセスで顧客のクレジットカード情報流出 最大3万7000件
ヤマダ電機は5月29日、同社が運営するオンラインストア「ヤマダウェブコム」「ヤマダモール」が不正アクセスを受け、約3万7000件のクレジットカード情報が流出した可能性があると発表した。一部は不正利用された可能性もあるという。 【修正:2019年5月29日午後6時50分 記事タイトルと第1段落の記述を一部修正しました】 流出した可能性があるのは、2019年3月18日~4月26日の期間に同サイトで新規クレジットカード登録や登録変更をした最大3万7832件の顧客情報。クレジットカード番号、有効期限、セキュリティコードが流出し、一部顧客のクレジットカード情報が不正利用された可能性があることを確認しているという。 同社のペイメント(決済)アプリケーションが第三者に改ざんされていたことが、流出の原因とみている。 現在、クレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタ
PayPay、不正利用の返金は自社で「全額補償」と発表 ── 原因はセキュリティーコードの総当たり「ではなかった」
PayPay曰くセキュリティーコードも漏れている 今回公開された同社のリリースの中には、不正利用の被害データも一部提示された。 「調査の結果、クレジットカード登録時にセキュリティコードを20回以上入力し登録に至った件数はPayPayのサービス開始以来13件であり、クレジットカード情報の入力回数に制限を設けるだけでは根本的な対策にはならないと判断しました。 PayPayにおける不正利用の主な要因は、悪意ある第三者が何らかの方法で、外部で入手したセキュリティコードを含むクレジットカード情報が利用されたことである可能性が高いため、このたび3Dセキュアの対応を決定いたしました。 また、上記13件のうち、PayPayでの利用があった9件について、カード会社と連携しご利用状況を確認したところ、全てご本人による登録と利用であったことが判明しています(2018年12月27日現在)。」 今回話題になっている
仮想通貨Bitcoin Goldが「51%攻撃」で取引を乗っ取られ取引所が多額の損失を負う事件が発生
By Marco Verch 仮想通貨Bitcoin(ビットコイン)からハードフォークで誕生したアルトコインの1つである「Bitcoin Gold(ビットコインゴールド:BTG)」が、51%攻撃と呼ばれる攻撃を受けて、仮想通貨取引所が多額の損失を被るという事件が発生しました。 Bitcoin Gold Hit by Double Spend Attack, Exchanges Lose Millions https://www.ccn.com/bitcoin-gold-hit-by-double-spend-attack-exchanges-lose-millions/ 「51%攻撃」は、悪意のある仮想通貨マイナーの個人やグループがネットワーク全体の採掘速度の50%以上を支配することで取引を乗っ取り、不正な取引を可能にしてしまうというもの。これは、「最も長いブロックチェーン中の取引が正しい
米クレジットカード大手4社、決済時のサインが不要に
米国の大手決済プロバイダー4社(Mastercard、Visa、American Express、Discover)は、クレジットカード取引の際に業者に署名の取得を求める要件を廃止する計画を2017年に発表していた。MastercardとAmerican Express、Discoverは米国時間4月13日、Visaは14日より、その新しいポリシーの実施を開始した。 ただし、この変更は任意であり、署名を廃止するかどうかを決める新しい権限は、顧客ではなく業者に与えられる。 多くの小売業者は今後も顧客に署名を求め続けたいと考える可能性が高い。従業員の給与の一部をチップが占める小売業者や、高額商品を販売する小売業者の場合は特にそうだ。
米高級百貨店、買い物客の決済カード情報流出 ハッキング集団が500万枚の売り出し公言
Saks Fifth Avenueなどの高級百貨店から、買い物客の決済カード情報が流出した。ハッキング集団は、盗まれたクレジットカードなど500万枚あまりの情報を売り出すと発表していたという。 米Saks Fifth Avenueなどの高級百貨店を展開するHudson's Bay Company(HBC)は4月1日、Saks Fifth AvenueやLord & Taylorなど北米の一部店舗で、客の決済カードデータに関するセキュリティ問題を確認したと発表した。 これに関連して、セキュリティ企業のGemini Advisoryは4月1日のブログで、Saks Fifth Avenueなどから盗まれたものと思われるクレジットカードなどの情報が、ハッキング集団によって売りに出されていると伝えた。 HBCによると、北米にあるSaks Fifth AvenueとSaks OFF 5TH、Lord
ATMから現金を奪う「ジャックポッティング」攻撃、米国に拡大
カジノのスロットマシンのようにATMに現金を吐き出させるハッカーについて耳にするのは、これが初めてではない。2017年夏にはセキュリティカンファレンス「Black Hat」で「ジャックポッティング」のデモが行われており、この2年ほど、欧州やアジアの銀行にとって現実的な脅威になっていると報じられている。 セキュリティの専門家Brian Krebs氏は最近公開したレポートで、ジャックポッティングが米国本土に上陸し、ATMに現金を放出させる不正なソフトウェアやハードウェアがインストールされていることを示した。これまで、こうした攻撃は「どういうわけか米国のATM運営企業を避けてきた」という。 「だが今週、米国のシークレットサービスが金融機関に対して、ジャックポッティング攻撃が米国のATMを標的にしているのが明らかになったことを密かに警告し始めた後、状況が変わった」(Krebs氏) Krebs氏は自
「Android」マルウェアを100万台に感染、銀行に送金指示--ハッカー集団が大金盗む
1年以上前から、ロシアで偽の銀行やGPS、ポルノアプリに起因する大規模な銀行窃盗が発生している。 ロシア当局関係者は現地時間5月22日、世界中で銀行強盗を企んでいたハッカーグループに対する一連の手入れが成功を収めたことを明らかにした。ロシア内務省によると、使用するマルウェアにちなんで「Cron」と名付けられたこのグループは、ロシアで100万台以上の「Android」スマートフォンを感染させ、5000万ロシアルーブル(約89万2000ドル)以上を銀行顧客から盗んだという。 ロシアのサイバーセキュリティ企業Group-IBによると、このグループは、AndroidベースのマルウェアであるCronを使って標的のスマートフォンを乗っ取った後、被害者が利用する銀行にテキストメッセージを送信し、被害者1人当たり平均約140ドルを送金するよう依頼していたという。その後、このウイルスは感染したスマートフォン
カード番号とセキュリティコードが記載されていない新しい「クレジットカード」、ルクセンブルクのICTイベントで展示
ルクセンブルク最大規模のICT(情報通信技術)イベント「ICT Spring Europe 2017」(5月9~10日)が開催されている。イベントでは数多くのスタートアップ企業がブースを出展。その中で、ちょっとおもしろいものを見つけた。新しいクレジットカードである。 出展していたのは、APSというクレジットカード認証システムの会社。通常、クレジットカードの表にはカード番号が、裏にはセキュリティコードが記載されているが、APSが開発しているクレジットカードにはそれらの数字の記載がない。代わりに付いているのが、薄型のディスプレイとボタンだ。 聞けば、このカードはスマートフォンとペアリングして使うという。カード会社から送られてきたパスワードを入力し、クレジットカードに付いたボタンを押してBluetoothで自身のスマートフォンとペアリングすれば準備はOK。スマートフォンと連携することでカード番号
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クレジットカード番号とセキュリティコードの生成アルゴリズムを調べ、紙とペンで計算・生成 | スラド セキュリティ
TechCrunch | Startup and Technology News
ペイペイ不正利用「ダークウェブ」でカード情報入手か :日本経済新聞
警察庁の偽サイトが見つかる、幼児猥褻・動物虐待コンテンツを見ようとした違反金として2~5万円をiTuneカードで請求 
