reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
 2013年10月23日、通販サイト「セブンネットショッピング」がなりすましによる不正アクセスにあっていたことを公表しました。この結果、約15万件の顧客の情報が閲覧された可能性があるとのこと。

セブンネットショッピングに不正アクセス--15万件が流出 - CNET Japan
通販サイト「セブンネットショッピング」を運営するセブンネットショッピングは10月23日、なりすましによる不正アクセスによって、約15万件の顧客のクレジットカード情報などが閲覧された可能性があることを発表した。不正アクセスの発生期間は4月17日~7月26日で、発生時に見つかったプログラムの不具合は、7月26日に改修されている。


 CNET Japanによると、不正アクセスが行われていたのは4月17日から7月26日と3ヶ月以上にもわたっていたとのこと。
 
 改修は7月26日に行われていたとのことですが、3ヶ月近く過ぎてからの公表というのは決して早くはないですね。なぜこんなに時間がかかったのでしょう。
 
 不正ログインは、今年になって急増している他のサイトで漏えいしたIDとパスワードの組み合わせを流用したいわゆる「パスワードリスト攻撃」と呼ばれる方法で行われています。

 しかし、問題はそれだけではありません。セブンネットショッピングのサイト自体の脆弱性が悪用されることで、クレジットカード情報が閲覧された可能性があります。
 

本サイト上の「いつもの注文」画面の脆弱性の修正 本件不正アクセス発生時、本サイト「いつもの注文」の一部のプログラムに不具合があり、不正アクセス者に、当該不具合のある画面からクレジットカード情報が閲覧された可能性があります。
株式会社セブンネットショッピング


 
 今のところ、不正利用された形跡はないそうですが、「セブンネットショッピング」のサイトでは対象のIDかどうかを確認するページを用意しており、同社のニュースリリースからたどることができます。
 
株式会社セブンネットショッピング
※対象のIDかどうかの確認はこちら


 対象IDかどうかの確認にはログインが必要ですが、この手の情報流出時には便乗して偽サイトが開設される可能性もあるのでログインの前に本当に「セブンネットショッピング」のサイトであることを確認する必要があります。
 
 まず確認が必要なのはURLです。「セブンネットショッピング」のサイトのURLは

 https://www.7netshopping.jp/

 ですので、必ず確認してからにしましょう。また、同サイトはSSLを利用しているので、以下の手順で「サイトを運営する会社の身元」を確認することもできます。
 
7netshopping02.jpg

7netshopping03.jpg

 
 ログイン後、対象IDでなければ以下のように表示されます。
 
7netshopping01.jpg


 もし、対象IDであった場合は、「セブンネットショッピング」はもちろんですが、同じID、パスワードを利用しているサイトがないか確認しましょう。

 なお、「パスワードリスト攻撃」に関しては以下のエントリでも取り上げていますので、参考になさってください。

パスワードの使い回しは絶対ダメ!! 盗まれたパスワードが他のサイトで試され不正ログインされる事件が多発 : I believe in technology
「Tサイト」、「gooID」、「フレッツ光メンバーズクラブ」、「eBookJapan」。    ここ1ヶ月ほど、国内の会員制サイトで不正なログイン攻撃が多発しています。このうち、「gooID」と「eBookJapan」にはある共通点があります。


どこかで漏れたパスワードが『一休.com』への攻撃に使われた! パスワードの使い回しは危険です : I believe in technology
2013年3月22日、高級ホテル・高級旅館に特化した予約サイト『一休.com』がサイトへの不正アクセスを検知したことを発表しました。




上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。