ソースネクスト 不正アクセスでクレカ11万件流出 1／4発覚 2/14発表 [633746646]

[0001 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ ab44-VmOG) 2023/02/21(火) 19:22:25.83 ID:BfRlaDIH0●]

サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ

このたび、当サイト（www.sourcenext.com）におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報112,132件および個人情報120,982件が漏えいした可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
なお、個人情報120,982件が最大漏えい件数となりクレジットカード情報112,132件はこれに含まれております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

記

経緯

2023年1月4日、一部のクレジットカード会社から、当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、2023年1月5日、当サイトでのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2023年1月23日、調査機関による調査が完了し、2022年11月15日〜2023年1月17日の期間に当サイトで購入されたお客様のクレジットカード情報および個人情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
個人情報漏えい状況
原因

弊社が運営するサイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため。
クレジットカード情報漏えいの可能性があるお客様

2022年11月15日〜2023年1月17日の期間中に当サイトにおいてクレジットカード情報を登録されたお客様112,132名で、漏えいした可能性のある情報は以下のとおりです。
カード名義人名
クレジットカード番号
有効期限
セキュリティコード
個人情報漏えいの可能性があるお客様

2022年11月15日〜2023年1月17日の期間中に当サイトにおいて購入されたお客様120,982名で、漏えいした可能性のある情報は以下のとおりです。
氏名
メールアドレス（パスワードの漏えいはありません）
郵便番号（任意入力項目）
住所（任意入力項目）
電話番号（任意入力項目）

上記 (2)、(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。
お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
https://www.sourcenext.com/support/i/2023/0214_info/?i=gtnews

[0223 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW b589-KE+h) 2023/02/21(火) 22:19:02.88 ID:/h+kBS9t0]

これあまり大きく報道されてないな

[0224 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 75a2-83HN) 2023/02/21(火) 22:19:16.26 ID:KIlUi0sB0]

セキュリティコード保存してるとか怖すぎる

[0225 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW b58d-RU/u) 2023/02/21(火) 22:58:06.70 ID:xnItylvp0]

普通買うために登録しても削除するわな
だから今は登録されてない
それでも漏れてるわけだろ

[0226 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ cb9f-/+FQ) 2023/02/21(火) 23:02:17.47 ID:XIC5TU8p0]

>1
>221
この事件の手口の解説が↓だけど 不正なJavaScriptを使っただけだって！公式サイトをフィッシングサイトに変化させる感じ
難読化してるとはいえ手口は単純ぽい
（目標のサーバーを改ざんするのは難しいけど）

ペイメントアプリケーションの改ざん（Webスキミング）に関する概説と対策手法について
https://security.macnica.co.jp/blog/2023/02/web-1.html


>>214
情報は客のスマホやPCから犯人へ送られてるからソースネクストの通信ログじゃ把握できないぽい

[0227 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ ab44-aTO5) 2023/02/21(火) 23:20:02.09 ID:BfRlaDIH0]

>>226
非常にわかりやすい解説のリンクでした

Webスキミングは、Webサイトが保有するデータベースの侵害等による情報漏えいではなく、何かしらの理由でWebサイトに不正なJavaScript（以下、スキマー）が設置されることによって引き起こされる情報漏えいです。

そのため、Webスキミングは次のような性質を持っています。

クレジットカード番号だけではなく、有効期限やセキュリティコードまで漏えい対象となる
クレジットカード情報の非保持化を実施しているECサイトであっても漏えいする
クレジットカード決済を取り扱っていないECサイトであっても漏えいする
（偽のクレジットカード入力フォームを表示させ、ユーザに入力を促すことができるため）
「クレジットカード決済を実行」したタイミングではなく、ユーザが「クレジットカード情報を入力」したタイミングで漏えいする
（「クレジットカード情報は入力したが購入しなかった」ケースにおいても漏えいする）

本記事では、最近発生した10万件を超える国内被害事例をもとに、Webスキミング攻撃の概説と対策手法について解説したいと思います。

Webスキミング概説

まず、Webスキミングの大まかな流れは以下の通りです。

攻撃者は、スキマーと呼ばれる不正なJavaScriptを攻撃対象Webサイトに設置します。
（設置手法は、Webサイトの脆弱性攻撃によるものや、Webサイトが利用しているサードパーティを経由して設置する方法など様々）
ユーザはWebサイトへアクセスし、WebサーバはWebページとスキマーを返します。
ユーザは自身の個人情報をフォームへ入力します。
スキマーはフォームに入力された個人情報を窃取し、攻撃者のサーバへ送信します。

[0228 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 15af-tv7z) 2023/02/21(火) 23:38:35.51 ID:Ny+kG/IE0]

何もしてないレベルでPCに負荷がかからないことで有名なとこか？

[0229 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 15af-ELPo) 2023/02/21(火) 23:45:04.23 ID:Ir8ncj0Q0]

>>214
カード情報はJavaScriptを使うことで客のブラウザから通販サイトのサーバーは経由せず直接決済代行会社に送られている
盗まれる際はアプリケーションサーバーから不正なスクリプトが客のブラウザに配信され客が入力した情報は直接攻撃者のサーバーに送信される

[0230 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 0dd2-oYuY) 2023/02/21(火) 23:48:59.41 ID:p/moKxpP0]

ソースネクストは業績あまり芳しくないのにこんなこと起こしたら大変だな

[0231 番組の途中ですがアフィサイトへの転載は禁止です (ﾃﾃﾝﾃﾝﾃﾝ MMcb-gDg5) 2023/02/21(火) 23:53:14.46 ID:Aga45+0cM]

一月も放置って😱

[0232 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 23af-/+FQ) 2023/02/21(火) 23:54:25.72 ID:1qiqTCPB0]

おそろしい(´・ω・｀)

[0233 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 45af-t9pH) 2023/02/21(火) 23:58:06.32 ID:G0qtFcCv0]

ゴミソフトウェアをぱそこん上級者の爺に売る会社なんだ

[0234 番組の途中ですがアフィサイトへの転載は禁止です (JP 0Hb9-Ov6b) 2023/02/21(火) 23:58:20.40 ID:vcDjGV9bH]

自己診断なんて常時走ってるもんじゃないの

[0235 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW a356-Dc7b) 2023/02/22(水) 00:04:05.57 ID:Y9dAjvXd0]

>>226
なるほど、それだと中々気づきづらそうだな

>>229
一切元サイトを介していないところもあるのかもしれないけど全部がそうなんかね？
例えばAmazonの支払い方法のページ開いてみたけど他のドメインからクレカ情報を引っ張ってきているように見えなかった

[0236 番組の途中ですがアフィサイトへの転載は禁止です (ｴﾑｿﾞﾈW FF43-1TjE) 2023/02/22(水) 00:04:08.97 ID:L1wPcN6UF]

ちゃんとソースネクストのセキュリティソフトを使っていればなあ

[0237 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 23ad-BTrK) 2023/02/22(水) 00:11:00.52 ID:1g2qOr9Z0]

やっぱ日本企業はヌルイ
ネットに繋いで商売することが戦争だって事がわかってない
アマゾンでしかクレカは使えんな

[0238 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 15af-ELPo) 2023/02/22(水) 00:12:54.91 ID:e2qxceMc0]

>>235
PCI DSSに準拠してる企業は自社でカード情報を管理できるがそうでない場合は非保持・非通過が求められている
対処方法としてはJavaScriptを使い暗号化して決済代行に飛ばす（トークン決済）か決済代行の用意したページに遷移して入力させるかのどっちか
多くの企業は購入率の落ちにくい前者を選んでいる
ちなみに後者もデザインを正規ページに似せた偽決済ページに誘導して盗むというやり方が確認されている

[0239 番組の途中ですがアフィサイトへの転載は禁止です 2023/02/22(水) 00:16:45.49 ID:iEBjEVkf0]

まあ二段階認証だよそ決済使えだのはジジババにゃあ無理だよ

[0240 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ fd0d-UHP7) 2023/02/22(水) 00:19:08.23 ID:lDvdQ3Cs0]

>21
筆まめ・筆王・宛名職人の発売元だから
年賀状つくるためにダウンロード版を購入した人達じゃね
11月15日以降の書き入れ時を狙ったんだろ

[0241 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW a356-Dc7b) 2023/02/22(水) 00:27:56.98 ID:Y9dAjvXd0]

>>238
ソースネクストはそのPCI DSSとやらに非準拠だからクレカ情報を持っているはずがない＝ソースネクストのサーバーを経由していないとなるわけね
Q&Aのページまで見たら「クレジットカード情報は一切保有しておりません」とも書いてあったしあっていそう
あと>>204の疑問の答えも一応載ってわ

[0242 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 030a-KitV) 2023/02/22(水) 00:36:55.17 ID:FISSbwsq0]

マイナンバーカードの情報もいつか流出したりすんのかな

[0243 番組の途中ですがアフィサイトへの転載は禁止です 2023/02/22(水) 00:37:32.43 ID:5swtSlWm0]

>>242
もうあちこちで流出してね？

[0244 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 15af-ELPo) 2023/02/22(水) 00:42:12.72 ID:e2qxceMc0]

>>241
確かに書いてあるな
「不正プログラムの特定と削除を完了、証明できたのが1月17日であったため」だから念のために後ろにずらしたということか

[0245 番組の途中ですがアフィサイトへの転載は禁止です (ﾌﾞｰｲﾓ MMeb-UdBt) 2023/02/22(水) 01:21:23.50 ID:23XQOWvtM]

登録した覚えないのに毎日アホみたいに迷惑メールよこしてたわこのソースネクストとかいう会社
一回メールの登録解除みたいなのしに行ったけど何の効果もなかった
確認したら1週間ぐらい前からメール来てなくて草

[0246 番組の途中ですがアフィサイトへの転載は禁止です 2023/02/22(水) 01:33:29.50]

だからなんで本メールアドレスなんか使うんだよ

なんかもーバカばっかりじゃねえかこの国

[0247 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 3dc5-CPfD) 2023/02/22(水) 01:40:41.96 ID:Lo3YhE5J0]

>>243
新しいのはカードに個人情報記載するのやめるみたいだな
また受け取りに役所行くのめんどいわ
とっくにクレカがナンバーレスに移行始まってたんだから最初から気づいて欲しかったわ

[0248 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 4b1d-h1Ka) 2023/02/22(水) 01:43:37.68 ID:2njT0s820]

>>246
本メールアドレスって何かね
誰かとやり取りするわけでもなし　今日捨ててもいいのがメアドでしょ

[0249 番組の途中ですがアフィサイトへの転載は禁止です (ﾌﾞｰｲﾓ MMeb-UdBt) 2023/02/22(水) 01:48:29.24 ID:23XQOWvtM]

携帯キャリアとか使ってないから本メールアドレスもクソもないわ
全部Gメール
クレカ紐付けしてるのとそうでないのとでしかわけてない

[0250 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 6db7-BTrK) 2023/02/22(水) 01:50:17.31 ID:1lxmsfLE0]

この技術力でマイナンバーカードやるのかあ

[0251 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 4b1d-h1Ka) 2023/02/22(水) 01:55:00.60 ID:2njT0s820]

>>250
ソースネクスト噛んでるの？聞いたこと無いけど

[0252 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 2367-QOVq) 2023/02/22(水) 01:59:53.01 ID:zyE9yI8k0]

デビットカードとかVプリカ使ってるモメンいる？

[0253 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 4b1d-h1Ka) 2023/02/22(水) 02:02:17.97 ID:2njT0s820]

>>252
デビットは使ってるよ

[0254 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 2367-QOVq) 2023/02/22(水) 02:06:29.91 ID:zyE9yI8k0]

>>253
ありがとう
ネット通販とかではやっぱりまだ自衛が必要な感じもあるんだね

[0255 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW c534-V+HY) 2023/02/22(水) 02:12:29.45 ID:fba5bPsK0]

>>4
これ弁償してもらえるの？

[0256 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW fd8f-f+2a) 2023/02/22(水) 03:29:02.06 ID:3IBoyiLH0]

なんでセキュリティコードまで保存されてんの？

[0257 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 6dbd-Fyc2) 2023/02/22(水) 04:07:00.59 ID:jar72yFd0]

>>68
俺も一度カード会社から不正利用があったからカードを再発行するって通告されたが
不正請求分はカード会社で勝手に処理されてこっちに金銭的被害が出たわけじゃないけど
再発行の手続きが済む何週間かはカードが使えなくなって面倒だったんだよなあ

[0258 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW ed8f-rxS9) 2023/02/22(水) 04:08:11.42 ID:1cE9ihJC0]

>>242
いつかも何もとっくに流出事件起きてる

[0259 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 2323-BTrK) 2023/02/22(水) 04:36:21.41 ID:tvpZZd/r0]

（ ♯°ん° ）「いただいたクレカで豪遊するぞ！」

[0260 番組の途中ですがアフィサイトへの転載は禁止です (ｽﾌﾟｯｯ Sd03-vXNT) 2023/02/22(水) 05:15:07.01 ID:Ypg4496+d]

これっていわゆる情報流出ではなくて
フォームに打ち込んだ情報が吸い取られてたってこと？

[0261 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 1bbb-4NVJ) 2023/02/22(水) 05:17:24.70 ID:svZOqIzn0]

まあ流出したのはこの際仕方ないとしてなんで1ヶ月も黙ってた？

[0262 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 8387-h1Ka) 2023/02/22(水) 05:34:13.86 ID:q2FQ6Dwu0]

2ch運営は犯罪者だからルール守らなくてもあり得る事だと思えたけど、表で活動してるそれなりの企業でもやってしまうのか
もう会社精算まで行くしか無いだろ

[0263 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW fdd5-QWo1) 2023/02/22(水) 05:43:22.38 ID:jpaIsaZS0]

ベネッセの2000万件流出に比べたら数字的にはしょぼく感じるな
まあこっちはクレカ情報だが

[0264 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ cb9f-/+FQ) 2023/02/22(水) 05:50:20.09 ID:rm0srPr10]

>>252
エロサイトのお供はVプリカだな！
でも支払い更新するサイトだと拒否されることが多いのが欠点

[0265 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 7522-XJ7K) 2023/02/22(水) 05:57:29.96 ID:nOx68xEx0]

>>83
なるほど年賀状か

[0266 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 7522-XJ7K) 2023/02/22(水) 06:01:05.58 ID:nOx68xEx0]

登録済みクレカ決済ならこのやり方だと情報盗めないってこと？
Amazonとかふるさと納税とか一々クレカ情報入力しないよね

[0267 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ ab87-RXIy) 2023/02/22(水) 06:14:29.82 ID:adAjKcfc0]

企業の通販は利用しないな
セキュリティ意識低そうだし

[0268 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 635d-6C4P) 2023/02/22(水) 06:15:38.91 ID:eNyuFvrJ0]

ここのセキュリティソフトは信用できないなw

[0269 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 85ef-S1g1) 2023/02/22(水) 06:43:27.68 ID:mBpvGvYC0]

アンチウイルスではこれは防げないな
まぁネットワーク侵入検知システムが上手く働かなかった…というよりファイアウォール等の設定がガバかったのかと

[0270 番組の途中ですがアフィサイトへの転載は禁止です (ﾌﾞｰｲﾓ MM09-xCmi) 2023/02/22(水) 07:36:36.91 ID:2WD6vk+FM]

>>256
バカ企業だから

[0271 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 85ef-S1g1) 2023/02/22(水) 07:39:13.02 ID:mBpvGvYC0]

今回の何されたかってプログラム経験者だとすぐ分かるけど

[0272 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲ 1b05-BTrK) 2023/02/22(水) 10:51:25.46 ID:9niPaEc70]

>>271
理解できてなくてワロタ

[0273 番組の途中ですがアフィサイトへの転載は禁止です (ﾜｯﾁｮｲW 23d1-6o6r) 2023/02/22(水) 11:45:09.90 ID:72edH5Sn0]

「セキュリティコードを保存したのはハッカーだからソースネクストは無罪！」
被害者にとっては同じことじゃね？