パスワードを忘れた? アカウント作成
15835758 story
クラウド

大手ECで使用中の入力フォームプログラムが改ざん、3800件以上のクレカ情報などが流出 11

ストーリー by nagazou
流出 部門より
東京港区のIT企業、ショーケースは25日、同社が提供する電子商取引(EC)サイト向け入力フォームのプログラムが外部から改ざんされ、少なくとも3800件以上のクレジットカード番号やセキュリティーコードが流出した可能性があることが分かった。同社の入力フォームはエービーシー・マートなど複数の企業に導入されているとのこと(ショーケースリリース[PDF]NHK共同通信)。

pongchang 曰く、

「エービーシー・マート」のサイトで、ことし7月24日から26日までに入力フォームを使った利用者のおよそ2300件のクレジットカードの番号やセキュリティコードなどが流失したおそれがあるとされていた。

入力フォームを提供していたショーケースの報道発表(2022年10月25日)によると、「2022年7月26日顧客から、「フォームアシスト」のソースコードに不審な記述がある旨の指摘を受け、直ちに、当社において運営するサービスのソースコードを調査いたしました。調査の結果、冒頭に記載しましたとおり、対象サービスにおいてシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ソースコードの書き換えがなされ、一部のお取引先様のウェブサイト等において入力された情報が外部へ流出した可能性があることが判明いたしました。」としている。

ABCマートも「既に弊社ではショーケース社のサービスの切り離しを行っております。また、第三者調査機関によるフォレンジック調査を実施し、当該サービス以外の理由による個人情報の漏えいが無いことおよび本サイトのプログラム改ざん、サイト実行環境への不正アクセスが存在しないことを確認いたしました。上記を踏まえ、本サイトでのクレジットカード決済機能は、本日2022年10月25日再開予定となりますが正式な日程につきましては、あらためまして本サイトにてご案内いたします。 」としている。

NHKの報道では、「ユーキャン富士フイルムイメージングシステムズ出光クレジット」もこのショーケース社のフォームアシストの影響を受けたとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by HiroSuzu (22662) on 2022年10月28日 17時14分 (#4351597)

    最近話題のCMの「ヤーっと注いでも穴からモレモレ状態」はこれのことだったんだね。

  • by Anonymous Coward on 2022年10月28日 19時01分 (#4351687)

    入力フォームを改竄して入力内容を盗聴する攻撃が流行ってると聞いたことはあるけど、実物がどんなものかは知らない……。
    改竄を仕掛けた側も分かり難い書き方にしてるだろうに、良く気付いたな。
    専門家の方なんだろうか?

    • by Anonymous Coward

      ホワイトリスト型の広告ブロックアプリで、ある日突然入力フォームが読み込まれなって気付く場合もある。

      • by Anonymous Coward

        ホワイトリスト型の広告ブロックアプリで、ある日突然入力フォームが読み込まれなって気付く場合もある。

        クライアント側でどうしようがサーバーのバックエンドで送られたら防げんよ
        今回みたいにソース改ざんならそうさせてない方のがアホみたいなもんだし

    • by Anonymous Coward

      Tripwireみたいな改ざん検知を自社管理以外の顧客入力フォームとかにも仕掛けていたんだと思う。
      社外リソース使う場合はその辺も監視しとかないと他社が原因で自社ブランドが低下するし。

      # StatCounterが4年前か [security.srad.jp]

    • by Anonymous Coward

      顧客って、一般のサイト利用者のことじゃないよ?
      決済システムを導入利用する企業のことですよ。


      なみ
      に確信
      情報をぶ
      っこぬくほ
      うほうはいろ
      いろありますが
      脆弱性をつく改ざ
      んだと、有償無償に
      かかわらず改ざんシス
      テムを導入していると一
      発でわかるから、本物の決
      済サイトにバレにくいのは相
      変わらずクロスサイトの手法です。

      ちなみに、先月くらいまでにカード会社から合計30万円位の請求が来るはずだったのに
      15万円位になってたので、なんかおかしーなーとおもっていたところでした。

      この関係がありそう。

      べつに残りの請求が来ないわけではなく、遅れてくるんだろうが、、、、。

      • by Anonymous Coward

        > 本物の決済サイトにバレにくいのは相変わらずクロスサイトの手法です。

        日本語で宜しく。

  • by Anonymous Coward on 2022年10月29日 8時17分 (#4351884)

    重要な情報よりもパスワード漏洩で大騒ぎするスラド。

  • by Anonymous Coward on 2022年10月29日 21時56分 (#4352180)

    ブラウザアドオンのように必要街のドメインへの接続をドロップする仕組みに普及が必要だよね
    広告とかの柵があるクライアントサイドよりは普及しやすい下地はあるはずなんだけどなぁ

    # 注文確認メールなんかは注文内のドメインと持サイトへのBCCしか送信不可にすればいいし

    • by Anonymous Coward

      サーバーサイドでのドロップ設定→サイト改竄時にドロップ設定も改竄されて意味なし
      クライアントサイドでのドロップ設定→アドセンスなどがまっさきにドロップ設定されてgoogleなどが困るから実現せず

    • by Anonymous Coward

      真面目なところはファイアーウォールで設定済みじゃない?

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...