パスワードを忘れた? アカウント作成
Close
12776 story

不正アクセスにより「ネットキャッシュ」盗難被害 76

ストーリー by yoosee
電子化された金が盗まれる時代に 部門より

あるAnonymous Coward曰く、"NTTカードソリューションの提供するネットマネーサービスの「ネットキャッシュ」のサーバに不正アクセスがあり、未販売のIDもあわせると金額にして3億円以上相当のIDが盗難にあったようだ。ネットキャッシュは16桁のID番号をプリペイドで購入し、ネット決裁に用いることが出来るサービス。 Impress Watch の記事によると、ネットキャッシュの決裁画面にあった脆弱性を利用され、最終的にIDが格納されたデータベースへアクセスされた模様。

NTTカードソリューションのお詫びによると、IDの盗難数は81,105個で、内訳は未販売のIDが50,419個、販売済みが30,686個となっている。そのうち未販売のIDで不正使用された被害額が316万円、販売済みのIDからの被害額が、わかっているだけで11万円となっている。購入者の被害額が極端に少ないのは、元々の残高が少ない人や使用済の人、また盗まれたことに気づいていない購入者も多いからだと思われる。

未販売分のIDについては既に無効とされたため被害額は316万円で確定したが、販売済分で未使用のものが約2,000万円相当あるとしており、購入者の被害額は最終的にいくらになるのかまだわからない。 不正に使われたことが確認できた場合には、その分だけ補償するという。
「『ネットキャッシュ』サービスは運用に問題がないことを確認しておりますので、今後ともに安心してご利用くださいますようお願いいたします。」と述べているが、はたして安心して利用することができるのだろうか?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

不正アクセスにより「ネットキャッシュ」盗難被害 More

  • こんどはほんとの不正アクセスだね (スコア:5, 興味深い)

    by matsuda (22788) on 2006年06月21日 21時23分 (#964659)
    善意の京大研究員を不正アクセスで逮捕しなければ、今度の脆弱性もだれか事前に知らせてくれる人がいたかもしれないのにね。
    善意の指摘は逮捕され、ほんとの不正アクセスは逮捕されないもんなんだろうね。

  • SQLインジェクション再発? (スコア:3, 参考になる)

    by SuperSouya (18827) on 2006年06月21日 22時49分 (#964709) 日記
    ワコールのECサイト、不正アクセス被害の原因はSQLインジェクション [impress.co.jp]
    「キッズオンライン」に不正アクセス、メールアドレスなど6,725件が流出 [impress.co.jp]

    これらの事件でNECネクサソリューションズ [nec-nexs.com]は、ワコールとリトルアンデルセンという大事な顧客を失ってしまいました。
    残念ながら「ネットキャッシュ」のサーバーにも、SQLインジェクションが潜んでいるかも知れません…。

    --
    Super Souya

  • やばいな (スコア:2, 興味深い)

    by khkakaden (30572) on 2006年06月21日 21時00分 (#964640) ホームページ 日記
    NTTまで情報流出なんて、最近企業の情報管理がめちゃくちゃだな。
    決済ページに脆弱性なんてろくでなしにしか見えないな。
    日本はどうなってしまうんだ!
    ひかり電話の実物発売でうきうきと思ったら、こんなアホなことがあるなんて。 まじめにNTTバカ度丸出しです。
    --
    「やっぱり何事もほどほどに」っていう東○寺駅近くにある某社からの人生の訓示なのかなぁ。
    それでも団長腕章欲しいよ。
    すたー○いと!ぶれいかぁ!(笑)

    • Re:やばいな (スコア:1, 興味深い)

      by Anonymous Coward on 2006年06月21日 21時31分 (#964664)
      NTTなんて脆弱な代表格なのでびっくりしないでしょう。
      現在も某所(not 2ch)で話題沸騰中ですが、
      情報全公開状態のサーバが数台あるなど、絶好調です。

      私が在籍していた頃もセキュリティ管理は大甘でしたからね。
      シェア
      親コメント
    • NTTは脆弱性の固まりなんですね。
      まぁしょうがないかな。
      まぁ電話に脆弱性がないのが唯一の救いです。
      --
      「やっぱり何事もほどほどに」っていう東○寺駅近くにある某社からの人生の訓示なのかなぁ。
      それでも団長腕章欲しいよ。
      すたー○いと!ぶれいかぁ!(笑)
      シェア
      親コメント

      • Re:やばいな (スコア:2, 興味深い)

        by Ooty (29466) on 2006年06月21日 22時49分 (#964710) 日記
        直接、電話回線の導線に到達できるなら、電話の盗聴はとても簡単。暗証番号をプッシュする際には、そういう可能性もあることが、頭の隅にあったほうがよいかも。

        そうなると、ダイヤルしてつながった先が、本当に正しい相手かも疑問符がついてくる。
        シェア
        親コメント

    • Re:やばいな (スコア:1)

      by roto (17040) on 2006年06月21日 23時43分 (#964739) ホームページ 日記
      情報管理というよりシステムのセキュリティーホールですよ。
      NTT(及び系列会社)の技術の多くは下請け会社や孫請け会社の技術でしかないので、
      もうちょっとまともな会社に下請けに出してねってことでしかないですよ。
      シェア
      親コメント

    • Re:やばいな (スコア:0)

      by Anonymous Coward
      流出と盗難の区別がついてない?

      • Re:やばいな (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2006年06月21日 21時25分 (#964660)
        意図しない情報が外に出てら、流失も盗難も利用者には関係ないと思う。
        それは、企業のいいわけ。

        流失や盗難の原因がどんな理由であれ、量が多ければ多いほど、信頼回復は大変。
        シェア
        親コメント

    • Re:やばいな (スコア:0)

      by Anonymous Coward
      NTTでひとくくりにして考えていいの?
      体質を受け継いだ関連企業という考え方もあるのかもしれないけど、グループ全体に広げるのはちょっと短絡的に思える。

      • Re:やばいな (スコア:2, 興味深い)

        by Elbereth (17793) on 2006年06月21日 22時49分 (#964708)
        セキュリティってのは、一箇所でも脆弱なところがあると
        全部に影響するもんです。

        #ちょっと違うか?
        シェア
        親コメント
  • 正規に使った後で、さも初めてそのIDを使うふりをして「まだ使ってないのに使えない!」と言い張ったら、不正に使われたものとどうやって区別するんでしょうか?
    --
    屍体メモ [windy.cx]
    • 特に区別しなくても良いと思いますよ。
      とりあえず、申告されたら、そのまま不正使用されたという風に処理すると思います。
      そんなバカな事をする人は少ないでしょうし。

      それから、その状況は、不正使用がバレて警察が捜査するのは確実なのに、あえてその危険なIDで、さらに不正使用をしている事になります。
      下手をすれば、他の不正使用の容疑までかけられてしまいますから、非常にリスクが高いですよ。
      シェア
      親コメント

    • Re:正規に使われたものとどうやって区別? (スコア:1, 興味深い)

      by Anonymous Coward on 2006年06月21日 22時27分 (#964694)
      不正申告されても、言われたとおりに保証すると思いますよ。

      この処置の目的は「IDを盗まれてもお客様に被害はありませんよ」と
      アピールすることですから、少しぐらいの不正があっても目をつぶるでしょう。

      不正申告をみのがしてもたかだか2,000万円の損害です。
      一方で不正申告に対して法的措置をとった場合には「IDを盗まれたくせに
      顧客を攻撃するのか」といった反発を招くことが予想され、その方が
      よほど高く付くと思います。

      法的(理論的)整合性ではなく実利で動くのが会社の論理です。
      シェア
      親コメント
    • 使われた日時と、購入物の送付先とか・・・
      クレジットカードの番号流出と似た手法かも。

  • 大切なのは利用者の財産が保障されていること。 (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2006年06月21日 22時38分 (#964701)
    不正アクセスによる電子マネーなどの盗難は絶対になくならないだろう。

    そこで大切なのはもし不正アクセスによる盗難があった場合、サービス提供側の責任で盗難された個人の財産を100%補償されない限り、そのサービスは恐くて使えない。
    たとえば利用者が盗難にあったことを申告しなければならないとか、証明しなければならないなどとなっていたら、とても安心して使えるはずがないと、考える。

    さて、みなさんの意見はどんなもんでしょ?

    • ネットバンクならぬリアルバンクでは、つい先頃までそのような状態でした。「盗られ損だね~うちはどうでもいいけどね」と涼しい顔していた銀行も、預金者保護法 [nagoya.jp]ができたおかげでそうもいかなくなっています。重大な過失が無ければ全額補償というのも大切ですが、何よりもお金を引き出されたのが過失でない事を「盗まれた側が証明しなければならない」という理不尽が無くなったのが大きいと思います。
      電子マネーは重さも無ければふだんから肌身離さず身につけているわけでもないので、やっぱりクレジットカード並みの補償や保険は欲しいですね。無記名の利用に関しては(現金を落とすのと同じで)逆に多少のリスクがあっても仕方ないかなとは思えますが、IDと結びつけて履歴も残すタイプの電子マネーであるならば盗難や流出時に利用者側がわざわざアクションしなければならないような事になれば理不尽に感じるでしょう。

      #でもそんな時に限って「個人情報保護で…」とか言って、本人にすら情報を開示しないとか購入履歴のチェックもやらないとかありそうなあたりが。
      シェア
      親コメント
    • >利用者が盗難にあったことを申告しなければならないとか、証明しなければならないなど

      利用者側が証明する事の大変さに関しては、銀行口座等のカードの被害が良い先例になるのかもしれません。
      今年2月に「預金者保護法」が施行されました。
      これによって、カードの偽造や盗難による被害は、銀行側が被害者の故意や過失を証明しない限り、補償される事になりました。
      立証責任は企業側にって流れが、他にも広がれば安心ですね。

      盗難にあったことを申告しなくてはいけないってのは、
      今回に限っては仕方無い気もします。
      盗まれたのはIDだけで、それを誰が買ったのかは判りませんから。
      利用者のほうから申告が無いとどうしようも無いですね。
      シェア
      親コメント

  • キャッシュが盗まれた (スコア:2, おもしろおかしい)

    by virtual (15806) on 2006年06月21日 23時03分 (#964720)
    ええっと、キャッシュに残ってません?ぐーぐるのとかのに。

    #スペル違うって

    • Re:キャッシュが盗まれた (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2006年06月21日 23時50分 (#964745)
      貴重品には違いないかな?
      cache
      《名-1》隠したもの,隠し場所,隠してある貴重品,貯蔵所,貯蔵物,隠匿場所
      (英辞郎 ver8.1より)
      シェア
      親コメント

  • 絶対安全神話 (スコア:1, 興味深い)

    by Anonymous Coward on 2006年06月21日 21時18分 (#964653)
    昔、あるプログラマが言っておりました。
    「デジタルもので破れないガードは存在しない。」

    • Re:絶対安全神話 (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2006年06月21日 21時40分 (#964672)
      デジタルにしろアナログにしろ、正規の出入り口があれば、そこがまずセキュリティホールなわけで。
      シェア
      親コメント

      • Re:絶対安全神話 (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2006年06月22日 2時22分 (#964806)
        俺の恋愛セキュリティホールは、ノーガード戦法だというのに、
        だれもアタックかけてくる女性がいないんだよなあ。
        おかげで、周囲からはウィザードと呼ばれるまで成長しました。
        たぶん、ポートスキャン位は受けていると思うんだけど、
        メリットのないシステムと判断されてるんだろうね、
        狙われるようなものを持たない事の強さって奴ですな。

        #才能が、富が、容姿が…欲しいです安西先生

        ##深夜の独り言につきAC
        シェア
        親コメント

    • Re:絶対安全神話 (スコア:1)

      by Lv5DeathMarch (30244) on 2006年06月22日 2時07分 (#964803)
      >正規の出入り口があれば、そこがまずセキュリティホール

      使用者が人間であるという事実もまた、永遠に付きまとうセキュリティーホールです。

      >ある程度規模が大きくなければシステム自体は完璧に構築できるでしょうが

      それは一体どんな魔法を使ったら実現できるんでしょうか・・・。
      ちょっとうちのプロジェクトにきて手伝ってくださいよ。
      --
      Lv5以下の社員全員にデスマーチ!
      シェア
      親コメント

    • Re:絶対安全神話 (スコア:0)

      by Anonymous Coward
      この件で「Linuxなら安全」という安全神話が崩れてくれることを期待します。

      # 妄信的な上司とクライアントに辟易していたのでACで

    • Re:絶対安全神話 (スコア:0)

      by Anonymous Coward
      職業プログラマですがマジな話、テスト期間と人員を十分に割けられたとしても、穴のないシステムを作るなんてことは出来ません。 もちろん、ある程度規模が大きくなければシステム自体は完璧に構築できるでしょうが、その場合たいてい運用に穴ができたりします。

  • 斜め読みは止めよう (スコア:1)

    by u1p (2709) on 2006年06月21日 22時56分 (#964715) 日記
    第一報を聞いたのもラジオだったりして、そのときに刷り込まれちゃったのかもしれないんですが

     NTT
         マネーサービス
               ID
      盗まれる

    http://www.nttdocomo.co.jp/service/osaifu/id/index.html の事かと思っちゃいました。

  • マネーロンダリング (スコア:1)

    by Namany (19002) on 2006年06月22日 10時07分 (#964914) 日記
    で、不正に入手したネットキャッシュはどういう手段で換金してるんですかね。
    サービスだと換金が難しいし、ショッピングは足が付く。
    アイテム課金型ネットゲームやアバター系コンテンツでRMTとか考えたけど、効率悪そうだしなぁ…
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」