パスワードを忘れた? アカウント作成
22565 story
お金

サウンドハウスでカード情報漏洩 39

ストーリー by nabeshin
カード会社からの指摘でということは 部門より

クラッカーに激箱(ニンニク)は通用しない部門 曰く、

個人情報の流出についてより。激箱で有名な楽器機材通信販売専門業者であるサウンドハウス(千葉県成田市)で個人情報の漏洩事件が発生した。クレジットカード会社からの指摘を受けて調査が行われ、「外部からの不正アクセスよってカード情報を含む個人情報が流出した可能性が高い」とのこと。

サウンドハウスといえば、激箱に魅せられた人に限らず、初音ミクやMIDIキーボードといった趣味のDTM機材。はてはSUREやAKGのヘッドフォンの通販でお世話になった人も多いはず。タレコミ人としても今回の事件は残念ではある。過去に利用したことのあるかたは今後に注意されたし。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2008年04月04日 21時33分 (#1325036)
    セキュリティホールmemo [ryukoku.ac.jp] によると、このサイトは HACKER SAFE [hackersafe.jp] でセーフだとされていたサイトのようですね。今もログイン画面にマークが出ていてクリックすると こんな説明 [scanalert.com] が出るんですけど、今回の侵入は別サイトなんでしょうか?

    調査によると、HACKER SAFE証明書を取得している、などリモートから検査し全ての既知の脆弱性に対策しているサイトは、ハッカーによる犯罪の99%以上を防ぎます。

    この証明書はwww.soundhouse.co.jpがリモートWebサーバー脆弱性テストに対する全てのクレジット・カード産業ガイドラインを満たしており、あなたの個人情報をハッカーから保護する手助けをしていることを示しています。

  • タイトル (スコア:2, 興味深い)

    by Anonymous Coward on 2008年04月04日 13時22分 (#1324826)
    ここのメルマガを取っているのですが、
    この事についてのタイトルが、「3% リベートキャンペーンのお知らせ」になってまして、
    中身を見るまでは、この事(漏洩)については分かりませんでした。

    おかげさまで、今日ここではじめて知りました…。
    メルマガは3/28にきてたのに。

    #購入したことはあるけど、カードで買ってたっけなぁー
    • by jtss (23444) on 2008年04月04日 21時10分 (#1325030)
      日曜大工の店がなくなって、この店になったのは知っていたけど、けっこう有名なところだとは知りませんでした。ご近所でもわからないものはわからないものです。
      --
      JTSS
      親コメント
    • 先日Peaveyのギターアンプ [soundhouse.co.jp]を買いました。日本の正規輸入代理店がサウンドハウスなので。

      うちには4月4日14時28分のタイムスタンプで「個人情報の流出について サウンドハウス」というsubjectのメールがきてますよ。カード情報を入力してなかったのでは?

      むしろ3%キャンペーンのメルマガがきてない。。。
      --
      [udon]
      親コメント
      • by GkCker (15170) on 2008年04月05日 11時27分 (#1325232)
        自分の過去の購入履歴を取ってあったメールから調べてみたら、2度クレジットカードで購入してました。orz
        メルマガは購読してないんだけど、まだサウンドハウスからは何の連絡のメールも(もちろんキャンペーンのメールも)来てないなぁ。
        親コメント
      • メルマガも取ってませんし、何時もカードが無いので銀行振込で利用していました。
        さきほど、私の日記 [srad.jp]に載せたメールが届いているのを確認しました。
        一応参考までに。
        親コメント
        • by Anonymous Coward
          その2007年1月1日より以前に新規登録していたらしく、
          うちにはメールきてないよ。

          決済済んだらカード情報削除しといてくださいよ。
          漏れてないといわれても再発行依頼しなくては・・・。
  • by little( (31297) on 2008年04月04日 14時14分 (#1324859) ホームページ 日記
    個人情報漏洩に巻き込まれるの何度目だろう?
    ポケットカード、大日本印刷、JACCS、スカイソフトだから、これで5件目か…

    これって多いのかな少ないのかな?
    • by Anonymous Coward
      多いと思います。私は今回サウンドハウスで初めて巻き込まれました。
      なので正直どういう対策を取ればいいか分からない部分もあるのですが、個人レベルでは、数ヶ月間明細をしっかりチェックするぐらいしか対策は取れないのでしょうか??
      自分の情報が漏洩したのかどうかもわからない状態で、カードを破棄するのはためらわれるのですが……。
      • by Anonymous Coward
        カード会社に連絡して番号変えてもらいな。
        後からゴタゴタに巻き込まれない保証はどこにもない。
  • by vbsnbk (13976) on 2008年04月04日 13時27分 (#1324832) 日記
    サウンドハウスと言えば"CLASSIC PRO"ブランドの安価なUPSも結構話題でしたね。
    今でも自宅ではUPS2000が動いてます。
    #これがあるんで未だにRS232-Cを潰せないんだよなあ(苦笑)。
  • カード情報 (スコア:1, 興味深い)

    by Anonymous Coward on 2008年04月04日 15時41分 (#1324903)
    一ネットショップがカード情報を保持しているケースもあるんですね。 ほとんどは決済会社に値を渡してショップ側には情報は残らないとおもうのですが
    • Re:カード情報 (スコア:2, 参考になる)

      by Anonymous Coward on 2008年04月04日 16時05分 (#1324913)
      確か「次回の買い物を便利にするためにカード情報を記憶しておく」的なオプションがあったと記憶しています。なので、その部分のデータなのかなと予想しています。とはいえ、中の人にしか実装は分からないので、何のいデータを、どの期間、どういう形式で保存していたのか... さすがにパスワードは一方向でハッシュしてあると期待しているのですが、情報がないとそれすら不安ではあります。
      親コメント
      • Re:カード情報 (スコア:2, 参考になる)

        by GkCker (15170) on 2008年04月05日 11時59分 (#1325255)
        http://www.soundhouse.co.jp/shop/News.asp?NewsNo=1555 [soundhouse.co.jp]
        >少なくとも2007年1月1日より以前に新規会員登録を済まされているお客様のデータの流出はないようです。

        だそうです。これが本当ならば、とりあえず私は安心だったようです。

        しかし、
        >SQLインジェクションという特殊な手法でサイトに侵入する手口が今回、使われたこともわかっており、只今どの範囲でデータが流出した可能性があるか、最終確認をしております。

        特殊な手法ですか・・・

        SQLインジェクションがMcAfee Hacker Safeが守れない1%なんて言わないだろうなぁ・・・。
        親コメント
        • by Anonymous Coward
          SQLインジェクションというのは、簡単に正規のSQLと不正なSQLの 区別がつくものなんですか? よく出る話ですし、言葉としては知っているのですが、 実際、これは!!、という対策は存在するのでしょうか? 構築したシステムごとに、テスト項目・対策内容が違うのなら、大変です・・・。 なにか、こういった製品をいれておけば、最低限大丈夫!みたいな製品があれば。
  • by Anonymous Coward on 2008年04月04日 18時19分 (#1324985)
    外部からの不正アクセスだそうですけど
    McAfee HACKER SAFEマークで検証、保証されている範囲内か範囲外なのか気になるな・・・
    範囲内のサーバとかだったら99%以上は防げるはずなのが防げなかったわけで。
    • by Anonymous Coward
      そのカメはちょうど1万年目だったんですよ。
  • by Anonymous Coward on 2008年04月04日 14時13分 (#1324857)
    > SUREやAKGのヘッドフォンの通販

    SHURE [shure.com]ですね。
  • by Anonymous Coward on 2008年04月04日 18時41分 (#1324993)
    ネット通販は便利でいつでも欲しいモノを注文出来るけど、今回のような情報漏洩が怖いので
    代引きか配送業者に直接目の前でカード払いかどちらかでしか買いません。
  • by Anonymous Coward on 2008年04月04日 22時44分 (#1325063)
    賠償金はいくらくらい払ってくれるのかな。
    • by Anonymous Coward
      賠償金は、損害の額と過失の割合で決まりますよ。
      まずはどの程度の損害を受けたかハッキリさせる所から始めたら良いと思います。
      • Re:謝罪と賠償 (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2008年04月05日 3時22分 (#1325135)
        ほら、人を殺しちゃったら、民事で犯人に被害者の生涯収入の見込みで賠償金を請求するケースがあるじゃない?
        だから、カードの損害額の見込みで請求すればいいんじゃない?

        毎月の限度額*漏洩時からカード有効期限までの月数ってところかな?
        あるいは
        毎月の限度額*漏洩時から来月までの月数+被害者の現収入から割り出した時給に、
        カードの切り替えに伴って発生する処理にかかった時間を掛けた金額かな?
        親コメント
  • by Anonymous Coward on 2008年04月06日 4時27分 (#1325485)
    以前、iPod用にER-6iを買った事があったので、うちにも来てました。
    今回の情報流出は、うちは銀行振込だったので実害はないのですが、
    いい気分はしないですね。


    ----------
    > 現在も第三者調査機関に依頼し、調査を継続中ですが、弊社でわかる範囲で
    > お客様に随時、情報をお伝えしてまいります。現時点で判明したことは、今回の
    > 弊社ホームページに対する攻撃元のIPが複数存在し、3月11日から22日の間に
    > 仕掛けられたと考えられます。これらのIPは全て中国を発信元としており、
    > 同時期、日本国内では同様の被害が、他社でも多数報告されているとのことです。
    > SQLインジェクションという手法でサイトに侵入する手口が今回、使われた
    > こともわかっており、只今どの範囲でデータが流出した可能性があるか、最終
    > 確認をしております。少なくとも2007年1月1日より以前に新規会員登録を済まされて
    > いるお客様のデータの流出はないようです。

    へぇ、外部からクレジット情報が参照できる状態になってたんだ。


    > 万が一、お客さまのカード情報が第三者に不正利用され被害が発生した場合には、
    > お客さまのご負担は一切ございませんので、ご安心いただきますようお願い申し
    > 上げます。

    そんなのあたりまえだ。
typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...