不正アクセスにより「ネットキャッシュ」盗難被害 76
ストーリー by yoosee
電子化された金が盗まれる時代に 部門より
電子化された金が盗まれる時代に 部門より
あるAnonymous Coward曰く、"NTTカードソリューションの提供するネットマネーサービスの「ネットキャッシュ」のサーバに不正アクセスがあり、未販売のIDもあわせると金額にして3億円以上相当のIDが盗難にあったようだ。ネットキャッシュは16桁のID番号をプリペイドで購入し、ネット決裁に用いることが出来るサービス。
Impress Watch の記事によると、ネットキャッシュの決裁画面にあった脆弱性を利用され、最終的にIDが格納されたデータベースへアクセスされた模様。
NTTカードソリューションのお詫びによると、IDの盗難数は81,105個で、内訳は未販売のIDが50,419個、販売済みが30,686個となっている。そのうち未販売のIDで不正使用された被害額が316万円、販売済みのIDからの被害額が、わかっているだけで11万円となっている。購入者の被害額が極端に少ないのは、元々の残高が少ない人や使用済の人、また盗まれたことに気づいていない購入者も多いからだと思われる。
未販売分のIDについては既に無効とされたため被害額は316万円で確定したが、販売済分で未使用のものが約2,000万円相当あるとしており、購入者の被害額は最終的にいくらになるのかまだわからない。
不正に使われたことが確認できた場合には、その分だけ補償するという。
「『ネットキャッシュ』サービスは運用に問題がないことを確認しておりますので、今後ともに安心してご利用くださいますようお願いいたします。」と述べているが、はたして安心して利用することができるのだろうか?"
こんどはほんとの不正アクセスだね (スコア:5, 興味深い)
善意の指摘は逮捕され、ほんとの不正アクセスは逮捕されないもんなんだろうね。
Re:こんどはほんとの不正アクセスだね (スコア:2, 興味深い)
毎度こじつけて話題にするのは止めた方が良いでしょう。
今でこそWinny利用者特定関連で表の人ごっこに興じている連中もかつては
プリペイドカードで料金を支払うISPの管理システムがあるサーバの脆弱性を突いて
無料で不正使用する方法を自慢し合っていたのは遠い思い出になってしまったかなあ。
# StLightとかいたよね(´ー`)
Re:こんどはほんとの不正アクセスだね (スコア:1)
Re:こんどはほんとの不正アクセスだね (スコア:1)
戻るってやったことないじゃん。
今度は被害が企業自身だから、もちろん防衛しようとするだろうけど、被害者が消費者の場合(個人情報)は、まったく防衛してこなかった。罰則がないから。今もないけど。
自分の情報は守るけど、消費者の情報は粗雑に扱うという企業と法律が今後も" 続く "だけ。
これに抗議すると不正アクセスで逮捕される。
ほんとの不正アクセスなら、身元を完全に隠そうとするわけだから、善意の通報者ほど簡単に逮捕されない。
よって、善意の通報者は逮捕され、悪意の不正アクセス者は逮捕されないという矛盾が生じる。
まったく、バカげた社会だ。
Re:こんどはほんとの不正アクセスだね (スコア:4, 参考になる)
# 事件から随分たつので、不正確な伝聞で話す輩が多すぎる。
Re:こんどはほんとの不正アクセスだね (スコア:1)
当時から不正確な情報を垂れ流す人は沢山いました。
Re:こんどはほんとの不正アクセスだね (スコア:0)
そういうのはダダモレとは言わんがな。
SQLインジェクション再発? (スコア:3, 参考になる)
「キッズオンライン」に不正アクセス、メールアドレスなど6,725件が流出 [impress.co.jp]
これらの事件でNECネクサソリューションズ [nec-nexs.com]は、ワコールとリトルアンデルセンという大事な顧客を失ってしまいました。
残念ながら「ネットキャッシュ」のサーバーにも、SQLインジェクションが潜んでいるかも知れません…。
Super Souya
Re:SQLインジェクション再発? (スコア:2, 参考になる)
気になるのは、SQLインジェクションで得られたIDが暗号化されていない点です。DBに不正アクセスされても安全な様に、DB上のデータは暗号化し、復号のロジックは別に設置するといった設計をしていそうな物ですが。
Re:SQLインジェクション再発? (スコア:1)
やばいな (スコア:2, 興味深い)
決済ページに脆弱性なんてろくでなしにしか見えないな。
日本はどうなってしまうんだ!
ひかり電話の実物発売でうきうきと思ったら、こんなアホなことがあるなんて。 まじめにNTTバカ度丸出しです。
「やっぱり何事もほどほどに」っていう東○寺駅近くにある某社からの人生の訓示なのかなぁ。
それでも団長腕章欲しいよ。
すたー○いと!ぶれいかぁ!(笑)
Re:やばいな (スコア:1, 興味深い)
現在も某所(not 2ch)で話題沸騰中ですが、
情報全公開状態のサーバが数台あるなど、絶好調です。
私が在籍していた頃もセキュリティ管理は大甘でしたからね。
Re:やばいな (スコア:1)
まぁしょうがないかな。
まぁ電話に脆弱性がないのが唯一の救いです。
「やっぱり何事もほどほどに」っていう東○寺駅近くにある某社からの人生の訓示なのかなぁ。
それでも団長腕章欲しいよ。
すたー○いと!ぶれいかぁ!(笑)
Re:やばいな (スコア:2, 興味深い)
そうなると、ダイヤルしてつながった先が、本当に正しい相手かも疑問符がついてくる。
Re:やばいな (スコア:2, 参考になる)
盗聴対策だったんだなあ。
Re:やばいな (スコア:1)
NTT(及び系列会社)の技術の多くは下請け会社や孫請け会社の技術でしかないので、
もうちょっとまともな会社に下請けに出してねってことでしかないですよ。
Re:やばいな (スコア:0)
Re:やばいな (スコア:1, すばらしい洞察)
それは、企業のいいわけ。
流失や盗難の原因がどんな理由であれ、量が多ければ多いほど、信頼回復は大変。
ネタに漏電 (スコア:1)
自分の部屋の窓を開けっ放しにしておいた所、泥棒に入られたが取られるものもなく、更に泥棒が隣家の財産を狙って、屋内の壁の脆弱性をクラックして…とか。
#いや、泥棒が大きなハンマーで鬼塚ばりに壁を破壊している情景を妄想したのでID(漏電中)
# 爆言のち漏電中… :D
Re:やばいな (スコア:0)
体質を受け継いだ関連企業という考え方もあるのかもしれないけど、グループ全体に広げるのはちょっと短絡的に思える。
Re:やばいな (スコア:2, 興味深い)
全部に影響するもんです。
#ちょっと違うか?
Re:やばいな (スコア:2, 興味深い)
全国の営業担当者に同じ環境を提供したいとNTT東の担当営業と交渉したことがあるのですが、
「これは、NTT西で行っているキャンペーンで、NTT東ではちょっと…」
「これは、xxx支店だけの仕様で…」
正規に使われたものとどうやって区別? (スコア:2, 参考になる)
屍体メモ [windy.cx]
Re:正規に使われたものとどうやって区別? (スコア:3, 興味深い)
とりあえず、申告されたら、そのまま不正使用されたという風に処理すると思います。
そんなバカな事をする人は少ないでしょうし。
それから、その状況は、不正使用がバレて警察が捜査するのは確実なのに、あえてその危険なIDで、さらに不正使用をしている事になります。
下手をすれば、他の不正使用の容疑までかけられてしまいますから、非常にリスクが高いですよ。
Re:正規に使われたものとどうやって区別? (スコア:0)
北海道でしたっけ
Re:正規に使われたものとどうやって区別? (スコア:2, 興味深い)
ただし、不正使用したのが、盗んだ人じゃなくて、報告した人なだけ。
Re:正規に使われたものとどうやって区別? (スコア:1, 興味深い)
この処置の目的は「IDを盗まれてもお客様に被害はありませんよ」と
アピールすることですから、少しぐらいの不正があっても目をつぶるでしょう。
不正申告をみのがしてもたかだか2,000万円の損害です。
一方で不正申告に対して法的措置をとった場合には「IDを盗まれたくせに
顧客を攻撃するのか」といった反発を招くことが予想され、その方が
よほど高く付くと思います。
法的(理論的)整合性ではなく実利で動くのが会社の論理です。
Re:正規に使われたものとどうやって区別? (スコア:0)
クレジットカードの番号流出と似た手法かも。
大切なのは利用者の財産が保障されていること。 (スコア:2, すばらしい洞察)
そこで大切なのはもし不正アクセスによる盗難があった場合、サービス提供側の責任で盗難された個人の財産を100%補償されない限り、そのサービスは恐くて使えない。
たとえば利用者が盗難にあったことを申告しなければならないとか、証明しなければならないなどとなっていたら、とても安心して使えるはずがないと、考える。
さて、みなさんの意見はどんなもんでしょ?
Re:大切なのは利用者の財産が保障されていること。 (スコア:5, 興味深い)
電子マネーは重さも無ければふだんから肌身離さず身につけているわけでもないので、やっぱりクレジットカード並みの補償や保険は欲しいですね。無記名の利用に関しては(現金を落とすのと同じで)逆に多少のリスクがあっても仕方ないかなとは思えますが、IDと結びつけて履歴も残すタイプの電子マネーであるならば盗難や流出時に利用者側がわざわざアクションしなければならないような事になれば理不尽に感じるでしょう。
#でもそんな時に限って「個人情報保護で…」とか言って、本人にすら情報を開示しないとか購入履歴のチェックもやらないとかありそうなあたりが。
Re:大切なのは利用者の財産が保障されていること。 (スコア:3, 参考になる)
利用者側が証明する事の大変さに関しては、銀行口座等のカードの被害が良い先例になるのかもしれません。
今年2月に「預金者保護法」が施行されました。
これによって、カードの偽造や盗難による被害は、銀行側が被害者の故意や過失を証明しない限り、補償される事になりました。
立証責任は企業側にって流れが、他にも広がれば安心ですね。
盗難にあったことを申告しなくてはいけないってのは、
今回に限っては仕方無い気もします。
盗まれたのはIDだけで、それを誰が買ったのかは判りませんから。
利用者のほうから申告が無いとどうしようも無いですね。
キャッシュが盗まれた (スコア:2, おもしろおかしい)
#スペル違うって
Re:キャッシュが盗まれた (スコア:1, おもしろおかしい)
絶対安全神話 (スコア:1, 興味深い)
「デジタルもので破れないガードは存在しない。」
Re:絶対安全神話 (スコア:3, すばらしい洞察)
Re:絶対安全神話 (スコア:2, おもしろおかしい)
だれもアタックかけてくる女性がいないんだよなあ。
おかげで、周囲からはウィザードと呼ばれるまで成長しました。
たぶん、ポートスキャン位は受けていると思うんだけど、
メリットのないシステムと判断されてるんだろうね、
狙われるようなものを持たない事の強さって奴ですな。
#才能が、富が、容姿が…欲しいです安西先生
##深夜の独り言につきAC
Re:絶対安全神話 (スコア:1, おもしろおかしい)
バックドアはいつでも狙われているから
ウホッ
Re:絶対安全神話 (スコア:1)
> メリットのないシステムと判断されてるんだろうね、
ステルスなので存在に気付かれてなかったりして :-P
Re:絶対安全神話 (スコア:1)
使用者が人間であるという事実もまた、永遠に付きまとうセキュリティーホールです。
>ある程度規模が大きくなければシステム自体は完璧に構築できるでしょうが
それは一体どんな魔法を使ったら実現できるんでしょうか・・・。
ちょっとうちのプロジェクトにきて手伝ってくださいよ。
Lv5以下の社員全員にデスマーチ!
Re:絶対安全神話 (スコア:0)
# 妄信的な上司とクライアントに辟易していたのでACで
Re:絶対安全神話 (スコア:0)
Re:絶対安全神話 (スコア:1)
斜め読みは止めよう (スコア:1)
NTT
マネーサービス
ID
盗まれる
http://www.nttdocomo.co.jp/service/osaifu/id/index.html の事かと思っちゃいました。
マネーロンダリング (スコア:1)
サービスだと換金が難しいし、ショッピングは足が付く。
アイテム課金型ネットゲームやアバター系コンテンツでRMTとか考えたけど、効率悪そうだしなぁ…
Re:マネーロンダリング (スコア:1)
果たして300万も何に使ったのか興味あるかも
Re:そもそも (スコア:4, 参考になる)
そういったオンラインサービスの利用者で、クレジットカードが使えない、又は使いたくない人にとっては、コンビニで買えて、便利なのではないでしょうか?
クレジットカードと比べてみると、個人情報を必要とせずに金銭の支払いが可能だとか、トラブルに巻き込まれても、プリペイド分の被害だけで済むという利点があります。
支払いの前に、あらかじめ買っておく必要がありますけど、コンビニで売ってるので、それほど不便では無いでしょう。
まぁ、WebMoneyとの差がわからないので、WebMoneyでいいじゃんって事なのかもしれませんが。
Re:そもそも (スコア:1)
何か憑いてるんじゃなかろーか(苦笑)
Re:そもそも (スコア:1)
>個人情報を必要とせずに金銭の支払いが可能
>プリペイド分の被害だけで済む
ほぼ、その通りの理由で使ってました。
(HDD流出したあのゲームですよ・・・飽きたから辞めたけど)
ネトゲの会社に個人情報をあまり渡したくないし
クレジットカード番号なんてさらにイヤです
月額無料なゲームですので、何かをゲーム内で買うときだけリアルマネーがいりますので、その時だけ使ってます。
>WebMoneyとの差がわからない
一時期はWebMoneyよりもNetCashの方が
サービスされているゲームが多かったのですよ。
あと、微妙な差ですが、NetCash10000円券を現金9950円で買えます。(50円安い)
WebMoneyは同額です。
Re:そもそも (スコア:2, 参考になる)
経済用語とネットワーク用語(オフトピ) (スコア:1)