「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説(1/2 ページ) ECサイトからクレジットカードや個人情報などの情報漏えいが相次いだ2019年。記憶に新しいところでは象印、19年前半ではヤマダ電機などのECサイトからクレジットカード情報が漏えいした。セキュリティ専門家の徳丸浩氏は、「情報漏えい事件が急増した1年だった」と振り返る。情報を盗もうとする攻撃者の最新手口については「自分でも気付けるか分からない」と状況は深刻だ。 サイトはクレジットカード情報を保持していないのに…… 徳丸氏は、19年に目立った攻撃手法として「入力画面の改ざん」と「偽の決済画面」という2つの手法を挙げる。 これらの攻撃を受けるECサイトは、決済方法について2種類に分けられる。1つは、クレジットカード情報をECサイトの画面で受けつつも直接決済サーバに送り、決済サー
徳丸浩氏に聞く、クレカ情報の非保持化に潜む漏洩リスクとEC事業者の対策 ECサイトやWebサービスからの情報漏洩が相次いでおり、クレジットカード番号やセキュリティコードなど、機微な情報が漏洩する事案も散見されます。特に、クレジットカード情報は、2018年に施行された改正割賦販売法にもとづき、ECサイトやWebサービスの運営事業者では事実上、保持しないこと(非保持化)が義務付けられているなか、なぜ漏洩被害が発生してしまうのでしょうか。 本記事では、ECサイトからの漏洩事案を題材として、Webセキュリティの専門家である徳丸浩氏に「なぜクレジットカード情報の漏洩が起こってしまうのか」「ECサイト事業者はどのような対策をとるべきか」「漏洩が発生した場合、どんな流れで対応すべきか」などを伺いました。 この記事のポイント ECサイトでクレジットカード情報の漏洩事案が発生するのは、ECサイトの利用者がク
脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203) - IT・システム判例メモ
クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。 事案の概要 Xは,Xの運営する通販サイト(本件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,本件サイトの運用業務を月額20万円で委託した(本件契約)。本件サイトはEC-CUBEで作られていた。なお,XからYへの業務委託に関し,契約書は作成されておらず,注文書には「本件サイトの運用,保守管理」「EC-CUBEカスタマイズ」としか記載されていない。 2014年4月には,OpenSSL*1の脆弱性があることが公表されたが*2,本件サイトでは,OpenSSLが用いられていた。 2015年5月ころ,Xは,決済代行会社から本件サイトからXの顧客情報(クレジットカード情報を含む)が漏えいしている懸念があるとの連絡を受け(本件情報漏えい)
ふと気になって調べたことの備忘メモです ✍ (2022/11/3追記)ご指摘頂いた内容を踏まえて加筆修正をおこないました なぜ調べたか Webアプリケーションの開発に携わっていると CSRF という脆弱性への対処を求められますが、多くの場合利用しているフレームワークが設定追加だけで対応してくれたり、既に前任者によって適切な処置がされていたりなど、実務上で目を向ける機会はその重要性と比較して少ないのでないかと思います また、Webブラウザの実装やHTTP周辺の関連仕様の変化から陳腐化している情報も多く、現代において全体感と具体的な対処法を理解するには少しばかりハードルが高いように感じていました ですので、自身の現時点での認識を明文化して残しておくことにしました なお、私はWebセキュリティの専門家でなく、一介の開発者のため、誤りが多分に含まれる可能性があります ご指摘を頂ければ修正したいと思
実装の参考の当たり 前口上: オープンソースの実装を読もう 普段Web開発をしているとこの書き方は普通か、実装の方向性はよさそうか不安になることがあります。そういった際、同じリポジトリの既存実装や会社の他のリポジトリ、技術ブログや本、過去の経験、他のメンバーの意見などを参考にしつつ当たりをつけるわけですが、リファレンスが増えるに越したことはないです。 有名な言語、フレームワークではオープンソースのWebサービスがGitHub、GitLab上などにあがっていることがあり、参考になります。 それぞれライセンスがあり、とりわけGPL汚染などは要注意ですが、収集した一覧が溜まってきたのでまとめておきます。ある程度有名なものメインでスクリプト言語+Go。 Ruby Ruby on Railsは有名なので採用しているWebサービスが多数あります。 Redmine イシュー、プロジェクト管理ソフトのRe
スイーツパラダイス(スイパラ)利用者のクレカ情報が不正利用されている疑惑。FGO、原神、にじさんじ、まどか、第五人格などとのコラボ期間中
むぎ @tr_mugi クレカ不正利用されたんですが、スイパラさんクレカ情報漏れてたりしません?それ以外考えられないんですが、、、、、、、、、、そのほかはいつも利用してるところしかないので、、、 2021-12-06 23:22:22 むぎ @tr_mugi やっぱりスイパラに問い合わせます……1人の声じゃどうにもならないと思うんですが、カード会社には被害額の四万払ってくださいとか言われてしまったので、悔しすぎるので問い合わせるだけ問い合わせます。もし最近クレカの不正利用に遭われた方いらっしゃいましたら、教えていただけますと幸いです。 2021-12-09 21:46:35 八尋 @yhr__k 昨日クレジットカードの不正利用あって、Twitterでスイパラ通販利用した方が何人か不正利用のツイートされてたから念のためとりあえず問い合わせ送ってみたら早速電話きて、そういったことは今のところは
達人出版会
探検! Python Flask Robert Picard, 濱野 司(訳) BareMetalで遊ぶ Raspberry Pi 西永俊文 なるほどUnixプロセス ― Rubyで学ぶUnixの基礎 Jesse Storimer, 島田浩二(翻訳), 角谷信太郎(翻訳) 知る、読む、使う! オープンソースライセンス 可知豊 きつねさんでもわかるLLVM 柏木餅子, 風薬 徹底攻略 AWS認定 クラウドプラクティショナー教科書 第2版[CLF-C02]対応 トレノケート株式会社 高山裕司 超楕円関数への招待 楕円関数の一般化とその応用 松谷 茂樹 手を動かしてわかるクリーンアーキテクチャ ヘキサゴナルアーキテクチャによるクリーンなアプリケーション開発 Tom Hombergs(著), 須田智之(訳) 詳解 AWS CloudFormation 潮村 哲 その決定に根拠はありますか? 確率思
アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3ヶ月で導入企業300社突破!
アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3ヶ月で導入企業300社突破! 株式会社イルグルム(本社:大阪府大阪市北区 代表取締役:岩田 進、以下「イルグルム」)は、マーケティング効果測定プラットフォーム「アドエビス」が2019年10月より提供する3rd party Cookieを使わない新しい計測方法「CNAMEトラッキング」の導入企業が300社※を突破したことをお知らせいたします。 ※2020年1月14日時点310社利用 近年、オンラインにおけるプライバシー保護への関心が高まり、EUではGDPR(一般データ保護規則)が施行され、Apple社のSafariブラウザではトラッキング防止機能Intelligent Tracking Preventionが追加されるなど、ユーザー行動データの収集において大きな変化が起きています。 今年の
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説
徳丸浩氏に聞く クレカ情報の漏洩が非保持化でも起こるワケ 2つの攻撃手法と対応策
CSRF(Cross-Site Request Forgery)攻撃について
アーキテクトがチェックすべきオープンソースのWebサービス一覧