ソースネクスト 不正アクセスでクレカ11万件流出 1/4発覚 2/14発表 [633746646]
■ このスレッドは過去ログ倉庫に格納されています
サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
このたび、当サイト(www.sourcenext.com)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報112,132件および個人情報120,982件が漏えいした可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
なお、個人情報120,982件が最大漏えい件数となりクレジットカード情報112,132件はこれに含まれております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
記
経緯
2023年1月4日、一部のクレジットカード会社から、当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、2023年1月5日、当サイトでのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2023年1月23日、調査機関による調査が完了し、2022年11月15日〜2023年1月17日の期間に当サイトで購入されたお客様のクレジットカード情報および個人情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
個人情報漏えい状況
原因
弊社が運営するサイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため。
クレジットカード情報漏えいの可能性があるお客様
2022年11月15日〜2023年1月17日の期間中に当サイトにおいてクレジットカード情報を登録されたお客様112,132名で、漏えいした可能性のある情報は以下のとおりです。
カード名義人名
クレジットカード番号
有効期限
セキュリティコード
個人情報漏えいの可能性があるお客様
2022年11月15日〜2023年1月17日の期間中に当サイトにおいて購入されたお客様120,982名で、漏えいした可能性のある情報は以下のとおりです。
氏名
メールアドレス(パスワードの漏えいはありません)
郵便番号(任意入力項目)
住所(任意入力項目)
電話番号(任意入力項目)
上記 (2)、(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。
お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
https://www.sourcenext.com/support/i/2023/0214_info/?i=gtnews 普通買うために登録しても削除するわな
だから今は登録されてない
それでも漏れてるわけだろ >1
>221
この事件の手口の解説が↓だけど 不正なJavaScriptを使っただけだって!公式サイトをフィッシングサイトに変化させる感じ
難読化してるとはいえ手口は単純ぽい
(目標のサーバーを改ざんするのは難しいけど)
ペイメントアプリケーションの改ざん(Webスキミング)に関する概説と対策手法について
https://security.macnica.co.jp/blog/2023/02/web-1.html
>>214
情報は客のスマホやPCから犯人へ送られてるからソースネクストの通信ログじゃ把握できないぽい >>226
非常にわかりやすい解説のリンクでした
Webスキミングは、Webサイトが保有するデータベースの侵害等による情報漏えいではなく、何かしらの理由でWebサイトに不正なJavaScript(以下、スキマー)が設置されることによって引き起こされる情報漏えいです。
そのため、Webスキミングは次のような性質を持っています。
クレジットカード番号だけではなく、有効期限やセキュリティコードまで漏えい対象となる
クレジットカード情報の非保持化を実施しているECサイトであっても漏えいする
クレジットカード決済を取り扱っていないECサイトであっても漏えいする
(偽のクレジットカード入力フォームを表示させ、ユーザに入力を促すことができるため)
「クレジットカード決済を実行」したタイミングではなく、ユーザが「クレジットカード情報を入力」したタイミングで漏えいする
(「クレジットカード情報は入力したが購入しなかった」ケースにおいても漏えいする)
本記事では、最近発生した10万件を超える国内被害事例をもとに、Webスキミング攻撃の概説と対策手法について解説したいと思います。
Webスキミング概説
まず、Webスキミングの大まかな流れは以下の通りです。
攻撃者は、スキマーと呼ばれる不正なJavaScriptを攻撃対象Webサイトに設置します。
(設置手法は、Webサイトの脆弱性攻撃によるものや、Webサイトが利用しているサードパーティを経由して設置する方法など様々)
ユーザはWebサイトへアクセスし、WebサーバはWebページとスキマーを返します。
ユーザは自身の個人情報をフォームへ入力します。
スキマーはフォームに入力された個人情報を窃取し、攻撃者のサーバへ送信します。 何もしてないレベルでPCに負荷がかからないことで有名なとこか? >>214
カード情報はJavaScriptを使うことで客のブラウザから通販サイトのサーバーは経由せず直接決済代行会社に送られている
盗まれる際はアプリケーションサーバーから不正なスクリプトが客のブラウザに配信され客が入力した情報は直接攻撃者のサーバーに送信される ソースネクストは業績あまり芳しくないのにこんなこと起こしたら大変だな ゴミソフトウェアをぱそこん上級者の爺に売る会社なんだ >>226
なるほど、それだと中々気づきづらそうだな
>>229
一切元サイトを介していないところもあるのかもしれないけど全部がそうなんかね?
例えばAmazonの支払い方法のページ開いてみたけど他のドメインからクレカ情報を引っ張ってきているように見えなかった ちゃんとソースネクストのセキュリティソフトを使っていればなあ やっぱ日本企業はヌルイ
ネットに繋いで商売することが戦争だって事がわかってない
アマゾンでしかクレカは使えんな >>235
PCI DSSに準拠してる企業は自社でカード情報を管理できるがそうでない場合は非保持・非通過が求められている
対処方法としてはJavaScriptを使い暗号化して決済代行に飛ばす(トークン決済)か決済代行の用意したページに遷移して入力させるかのどっちか
多くの企業は購入率の落ちにくい前者を選んでいる
ちなみに後者もデザインを正規ページに似せた偽決済ページに誘導して盗むというやり方が確認されている まあ二段階認証だよそ決済使えだのはジジババにゃあ無理だよ >21
筆まめ・筆王・宛名職人の発売元だから
年賀状つくるためにダウンロード版を購入した人達じゃね
11月15日以降の書き入れ時を狙ったんだろ >>238
ソースネクストはそのPCI DSSとやらに非準拠だからクレカ情報を持っているはずがない=ソースネクストのサーバーを経由していないとなるわけね
Q&Aのページまで見たら「クレジットカード情報は一切保有しておりません」とも書いてあったしあっていそう
あと>>204の疑問の答えも一応載ってわ マイナンバーカードの情報もいつか流出したりすんのかな >>241
確かに書いてあるな
「不正プログラムの特定と削除を完了、証明できたのが1月17日であったため」だから念のために後ろにずらしたということか 登録した覚えないのに毎日アホみたいに迷惑メールよこしてたわこのソースネクストとかいう会社
一回メールの登録解除みたいなのしに行ったけど何の効果もなかった
確認したら1週間ぐらい前からメール来てなくて草 だからなんで本メールアドレスなんか使うんだよ
なんかもーバカばっかりじゃねえかこの国 >>243
新しいのはカードに個人情報記載するのやめるみたいだな
また受け取りに役所行くのめんどいわ
とっくにクレカがナンバーレスに移行始まってたんだから最初から気づいて欲しかったわ >>246
本メールアドレスって何かね
誰かとやり取りするわけでもなし 今日捨ててもいいのがメアドでしょ 携帯キャリアとか使ってないから本メールアドレスもクソもないわ
全部Gメール
クレカ紐付けしてるのとそうでないのとでしかわけてない >>250
ソースネクスト噛んでるの?聞いたこと無いけど >>253
ありがとう
ネット通販とかではやっぱりまだ自衛が必要な感じもあるんだね >>68
俺も一度カード会社から不正利用があったからカードを再発行するって通告されたが
不正請求分はカード会社で勝手に処理されてこっちに金銭的被害が出たわけじゃないけど
再発行の手続きが済む何週間かはカードが使えなくなって面倒だったんだよなあ ( ♯°ん° )「いただいたクレカで豪遊するぞ!」 これっていわゆる情報流出ではなくて
フォームに打ち込んだ情報が吸い取られてたってこと? まあ流出したのはこの際仕方ないとしてなんで1ヶ月も黙ってた? 2ch運営は犯罪者だからルール守らなくてもあり得る事だと思えたけど、表で活動してるそれなりの企業でもやってしまうのか
もう会社精算まで行くしか無いだろ ベネッセの2000万件流出に比べたら数字的にはしょぼく感じるな
まあこっちはクレカ情報だが >>252
エロサイトのお供はVプリカだな!
でも支払い更新するサイトだと拒否されることが多いのが欠点 登録済みクレカ決済ならこのやり方だと情報盗めないってこと?
Amazonとかふるさと納税とか一々クレカ情報入力しないよね 企業の通販は利用しないな
セキュリティ意識低そうだし アンチウイルスではこれは防げないな
まぁネットワーク侵入検知システムが上手く働かなかった…というよりファイアウォール等の設定がガバかったのかと 今回の何されたかってプログラム経験者だとすぐ分かるけど 「セキュリティコードを保存したのはハッカーだからソースネクストは無罪!」
被害者にとっては同じことじゃね? ■ このスレッドは過去ログ倉庫に格納されています