ショッピングサイト決済時だけ偽画面 クレジット情報を盗む
2019年12月2日 5時38分IT・ネット
インターネットのショッピングサイトが改ざんされ、商品を購入しようとすると決済のときだけ偽の画面が表示され、クレジットカードの情報を盗まれる被害が相次いでいて、サイバーセキュリティー団体が注意を呼びかけています。
これは、去年半ばから被害が相次いでいる手口で、ショッピングサイトでクレジットカードを使って商品を購入しようとすると、決済のときだけ偽の画面が表示され、入力したカード情報などが盗まれます。
偽の画面で決済を終えようとするとエラーメッセージが出て、正しいサイトに戻り、もう一度試みると、今度は正常に決済できるということで、被害に遭ったことに気付きにくくなっています。
被害は東京の電子書籍販売会社や松山市のタオル販売会社など主に中小企業のサイトで起きています。
サイバーセキュリティー団体の「日本サイバー犯罪対策センター」によりますと、去年半ばからことし10月末までで、少なくともおよそ100の企業のサイトが改ざんされ、盗まれたカード情報は10万件に上るということです。
「日本サイバー犯罪対策センター」経済・金融犯罪対策チームの佐藤朝哉さんは「カード情報を盗まれても買い物ができているので被害に気付きにくいが、エラーメッセージが出るなどした場合、注意してほしい」と話しています。
https://www3.nhk.or.jp/news/html/20191202/k10012198271000.html
参考:
偽の画面で入力させるタイプ
正規画面で入力されたフォームを送信するタイプ
>>1
北朝鮮「Xマスプレゼント 何を選ぶかはアメリカ次第」
北朝鮮外務省は、非核化をめぐるアメリカとの協議について談話を発表し、
年末までに打開策を示すよう求めるとともに
「クリスマスのプレゼントに何を選ぶかは、すべてアメリカの決心にかかっている」
として、何らかの対抗措置をとる可能性を示唆し、けん制しました。
北朝鮮は、非核化をめぐるアメリカとの協議で、制裁の解除や米韓合同軍事演習の完全な中止など、
アメリカによる敵視政策の撤回を求めていて、年末までに協議の打開策を示すよう求めています。
こうした中、北朝鮮外務省でアメリカを担当するリ・テソン次官が3日午後、
国営の朝鮮中央通信を通じて談話を発表しました。
この中で「年末の期限が近づいていることをアメリカに再び思い出させたい。
われわれは、これまで最大の忍耐力を発揮してわれわれが先制的にとった重大な措置を破らないために
すべての努力をしてきた」として、北朝鮮が核実験やICBM=大陸間弾道ミサイルの発射実験を
中止していることを念頭に、アメリカに対する不満をあらわにしました。
そのうえで「いまや残っているのはアメリカの選択であり、近づいているクリスマスのプレゼントに
何を選ぶかは、すべてアメリカの決心にかかっている」として、打開策が示されなければ
何らかの対抗措置をとる可能性を示唆し、アメリカをけん制しました。
↑これってまんまノストラダムスの予言通りのシナリオだよな?
その大きな星は七日間燃える
巨大な黒雲が二つの太陽を現す
マスタンが夜通し吠え続ける
大祭司が居場所を変えるとき
(「百詩篇」第2巻41番より)
※大きな星=北朝鮮の国旗
ニつの太陽=日本と韓国の国旗
マスタン(mastin/獰猛な巨犬)=金正恩
大祭司=キリスト
この詩を要約すると、
1行目は北朝鮮が7日間に渡って空爆されると読める。
2行目は日本と韓国に核爆弾が落ちると読める。
3行目は金正恩が怒り狂うと読める。
そして4行目こそが、クリスマスを指すのであろう。
何故ならクリスマスとはキリストの降誕祭だからだ。
アメリカとの交渉期限を年末に定めた金正恩。
つまり年末までに動きが無ければ黙ってる訳には
いかない状況を自ら作ってしまったことになる。
おそらく年末ギリギリのクリスマスに長距離ミサイルを発射、
それにブチ切れたトランプが北朝鮮を攻撃、
というシナリオになるのではないか。 >>1
クロスサイトスクリプティングじゃねぇの?微妙なサイトは使うなって事やな 【経済】LINEの情報が韓国政府に筒抜けという報道。上場を前にLINEが大波乱 2014/06/22 【個人情報】
■LINEの個人情報はどに保管されているのか?
無料通話チャット・アプリLINEの情報が韓国政府に筒抜けになっているという報道が波紋を呼んでいる。LINEの森川社長はすぐに
全面否定のコメントを出したが、騒動はすぐには収まりそうもない。LINEは上場を前に大きな課題を抱えてしまった格好だ。
きっかけは、韓国の国家情報院(旧KCIA)が、LINEを傍受し、収拾したデータを欧州に保管、分析しているという月刊誌FACTAの記事。韓国政府のサイバーセキュリティ関係者が、日本の内閣情報セキュリティセンター(NISC)との協議の場で認めたという。
傍受の方法はシステムに直接侵入するのではなく、通信回線とサーバーの間でワイヤタッピングするというもので、韓国の国内法では
違法にならないという。記事では、LINEの日本人ユーザーの通話データなどが韓国政府に送られているとしている。
LINEの森川社長は、「LINEの通信は、国際基準を満たした最高レベルの暗号技術を使って通信されていますので、記事に書かれている
傍受は実行上不可能です」 と反論し、「看過できない記事」であるとしてFACTAに強く抗議している。
元CIA職員であるスノーデン氏の事件で明らかになったように、各国の情報機関が通信回線からデータを抜き取っていることはもはや常識である。
LINEは韓国企業ネイバーの子会社であり日本資本ではない。同社が韓国政府からの情報収集対象になっていないことの方がむしろ不自然なことである。
ネットでは、森川社長が「傍受は不可能」と言い切ってしまっていることから、逆にそれを不安視する声も上がっているようだ。
【安全保障】ヤフーとLINE統合へ…裏で何が起きていたのか? 鍵は韓国大統領と孫会談にあった 2019/11/14 【個人情報売買】
■統合には両社の台所事情も影響
両社の統合に経済合理性があるというのは、米国や中国のメガプラットフォーマーと対抗するという側面があるとともに、両社の台所事情も影響している。
特にSBGについては、孫氏が創成した10兆円の「ビジョン・ファンド」が投資するシェアオフィス大手・米ウィー・カンパニー(We Workを運営)が
新規株式公開(IPO)を延期したのを 境に市場ではビジョンファンドが投資する他のユニコーン企業群についても疑念が持たれはじめている。
直近の7〜9月期決算はビジョン・ファンドの巨額損失で「ぼろぼろ。真っ赤っかの大赤字」(孫社長)に転落した(最終損益は7001億円の赤字)。
一方、LINEも主力の対話アプリの成長が頭打ちとなり、新たな収益源の確保に迫られている。金融事業を含む戦略事業の営業損益は赤字で金融事業のテコ入れは待ったなしである。両社が接近するのは自然の流れと言える。
流れを決定付けたのは孫氏の韓国政府への接近
そして、その流れを決定付けたのが孫氏の韓国政府への接近だった。
経産省関係者は、「孫正義氏は7月上旬にソウルで文在寅大統領と会って握手している。韓国から金を引っ張るつもりだ」と明かしていた。
その席で何が話されたのか。ビジョン・ファンドへの協力とともに、LINEの親会社である韓国ネイバーへの働きかけがあったのではないか。
ブラウザがリダイレクトのたびにFQDN表示のポップアップ出すようにならんと防ぐの難しいな
去年から被害が出ているのに、
いまのタイミングで公開するのはどういうことなんだろう
【米中】米、中国の動画共有アプリ「Tik Tok」運営会社による米企業買収を調査 安全保障上の懸念 11/03 【スパイアプリ】
■中国共産党による買収を阻止 知的財産流出 軍事転用 個人情報流出
米、中国の動画共有アプリ「Tik Tok」運営会社による米企業買収を調査 安全保障上の懸念
2019/11/02
【ワシントン】ロイター通信は1日、中国の動画共有アプリ「Tik Tok(ティックトック)」の運営会社による米動画アプリ「ミュージカリー」の買収について、米国の対米外国投資委員会(CFIUS)が調査を始めたと報じた。
買収により米安全保障上の脅威が生じていないか調べるという。
ティックトックを運営する北京字節跳動科技(バイトダンス・テクノロジー)は2017年、ミュージカリーを約10億ドル(約1080億円)で買収した。
ティックトックは米国でも若者を中心に人気だが、米議会で最近、アプリを通じたデータ流出や、投稿内容が中国当局に検閲されているとの疑念が浮上。ルビオ上院議員は先月、政府に調査を要請した。
米英メディアはこのところ、香港の大規模デモの模様など、中国政府が神経をとがらせる動画が検閲されアプリへの投稿が制限されていると伝えていた。
米政府・議会は中国への警戒感から対米投資規制を強化している。CFIUSは昨年、米国際送金大手マネーグラムに対する
中国アント・フィナンシャルによる買収計画を却下する判断を下し、マネーグラムは買収計画を断念した。
関連
中国と自滅するソフトバンク
■中国産アプリ TikTokの危険性
TikTok(ティックトック、中国語名:抖音短視頻)は、中国のメディア企業Bytedanceが提供する短編動画共有アプリケーション・SNS。
日本国内では若者を中心にユーザー数が増加しており、中国国内では最大のユーザー数を誇るアプリである。創設者は張一鳴。2016年9月にサービスが開始された。
■2018年10月1日 - ソフトバンク、米投資ファンドKKR、同じく米国のジェネラル・アトランティックなどの企業が、Bytedanceへの出資を表明。
クレカが信用の証、すなわち社会人のステータスって意味不明すぎるわ
銀行に預金がないからクレカなんだろ?
デビット機能だけ使うならクレカでいいのによw
サイト改竄されたらユーザー側ではどうしようもないよな。
さっさと公開すれば良いのにねえ
公開すると企業がしり込みするのかもしれんが
こんなの小額の買い物ちょいちょいやられてたら気が付かないんじゃね?
PayPalの偽装メール paypaI(iの大文字)に引っかかりそうになったことはある。
>正規画面でJavaScript仕込むタイプも
こんなもん気づかないだろ
もうカード使うの止めるわ
アマゾンでしか
アマゾンギフトけんでしか
買い物をしない僕には無関係?
XSSとかタブナビングかね
ネットショッピングする際には関係ないサイトからのリンクは踏まないほうが良さそうだ
サイトそのものの改ざんだと目も当てられんが
こいうの怖いから、いつもニコニコ代引き購入してるw
ネット決済なんて怖いw
>>21
XSSはサイトを改竄しないでエスケープ処理してない部分の脆弱性「突く
これはサーバに侵入してサイトを改竄しないとできない これは回避不可能だろ
正規サイトから支払い画面は一番気が緩む時
120%回避できない
>>36
リダイレクトするタイプならリダイレクト先のドメイン見ればわかるが正規画面で実行する方は無理だな
開発者ツールでネットワーク眺めてないと気付けない 最近はアマゾンか楽天かヨドバシぐらいしか通販してない
個別のサイトでいちいちメンバーになれログインしろとかアホかと
>>1
それよりもだな、Amazonから
「ハッキングされたから、あなたの垢は停止しておいたわ!」
「再設定画面でパスワードを変えて!さあ、はやく!」
ってメールが来たんだわ
ドメインはgoogle >>18
日本のショッピングサイトではマイナー決済だと思うけど >>40
エラーが出たらカード止めるしかない
入力ミスだとしても >>42
(; ゚Д゚)それしか被害最小限に抑える方法なさそうだね >>21
むしろ説明を求める理由を説明して欲しいんだけど。 エラーメッセージの日本語があからさまにおかしいんですけど、これで気付かない人いるの?
怖すぎワロエナイ
アマゾンはもうあんな惨状だしヨドがやられたら信用できるものが無くなる
>>38
要望があるかわからないけど
オープンIDで楽天からも
Googleからも
TwitterからのID使ってログインがデフォになってきてる どこのECシステムかな
使ってるとこ全部アウトだぞこれ
1回httpsじゃなかったので閉じた。
次はhttpsだった。
決済金額も一緒?なら完全に乗っ取られてるの?
セッションも
デビット使えば?
使うときに必要額だけ入れて運用したら、たとえやられても口座は空。
引き落としの度にリアルタイムで携帯にメールが来て安心だよ。
パスワードはほぼすべてツールで生成したから覚えてないんだよなぁ
>>35
結局サイト運営側の脆弱性起因だしXSSの可能性もあるんじゃないの?
>>44
そらぁ変な嘘教えられても困るし こんなのわからないだろ
念の為給与口座のネットバンクはやらないようにしてるくらいだ
これのリアルバージョンだとコンビニのATMに偽のカード投入口つけたやつみたいだな
むしろ被害にあいにいって訴訟して賠償金貰うチャンスやぞ
大体サイト管理側の不手際だし
尚破産や怪しいサイトは訴訟先がいない
>被害は東京の電子書籍販売会社や松山市のタオル販売会社など主に中小企業のサイト
被害を最小限に抑える為、隠蔽するな
全てを情報公開しろ
やっぱ自社でちんまりやってるところはセキュリティも甘いし恐いよな
NHKの派遣がきて強制的にカード通されて受信契約させられるようなもんだな
>>2
うちの奥さんPayPal経由でクレジットカードの不正利用された。
PayPal、名前や生年月日が適当でもクレジットカード登録できんだな。 すでにカード番号を入力済の所だけなら問題無いな
新規に入力する所は全部怪しいと
>>68
httpsじゃなくて入力フォームのあるサイト。 ネットでカードは使わないって言うのが最強
面倒でも前払いの銀行振り込みを使う
アマとヨドとヤフショでしか買い物しないから大丈夫そうだな
ネットショッピングはデビットしか使わないな。
ポイントが全然付かないから嫌なんだけどさ。
>>54
人に説明させておいてXSSが何かも知らなさそう ssl対応してるのはサイトなら大丈夫なん?こんなんパンピーには分からんよ…。
常にカード枠いっぱいまで使ってれば不正利用されないのではないだろうか
いつも振り込み。
アマゾンでカードしかダメな場合はコンビニでアマゾンカードを買って支払う。
> 被害は東京の電子書籍販売会社
どこよ
この前ソニー使ったから不安
被害にあってんのはセキュリティ対策もロクにできてないしょぼいサイトだろ
被害が出たときはサーバー管理会社が責任とってくれるの?
ココカラファインで何回かエラーある…なんか不安になってきたわ。大丈夫だといいけど
>>38
その辺の常習のとこで買った方が良さげだな
大体のものは手に入るし ネットでカード使ったらすぐメール届くように設定してる
小規模の自前の通販サイトではクレジット払いはしないのが1番
>>39
appleからよく来るわ
youtube.comとかで >>80
事件の一覧
下表に本年(2019年)の現時点までに公表されたウェブサイトからのクレジットカード情報漏洩事件をまとめました。サイト名、漏洩期間、漏洩件数(最大)、セキュリティコードの漏洩有無、漏洩の手口(後述)を記載しています。
サイト名 漏洩期間 漏洩件数 セキュリティコード 漏洩手口
バニーファミリー横浜ネットショップ 2018年6月28日〜同年10月25日 241件 漏洩 Type5
オンライン通販サイト(ハセ・プロ) 2018年10月1日〜2019年1月24日 1,311件 漏洩 Type5
歯学書ドットコム 2012年11月11日〜2018年12月28日 5,689件 漏洩 不明
本味主義 2017年5月22日〜2018年10月14日 2,926件 漏洩 Type4?
子供服サーカス 2018年10月1日〜2019年1月18日 2,200件 漏洩 Type4
エコレオンラインショップ 2018年5月16日〜2018年12月11日 247件 漏洩 Type4
ななつ星 Gallery 2013年10月5日(サイト開設日)〜
2019年3月11日(サイト閉鎖日) 3,086件 漏洩 不明
「ショコラ ベルアメール」オンラインショップ 2018年8月6日〜2019年1月21日 1,045件 漏洩 Type5
エーデルワイン オンラインショップ 2015年7月8日〜2018年8月5日 1,140件 漏洩 不明
小田垣商店オンラインショップ 2018年4月3日〜2018年5月16日及び
2018年9月3日〜2019年2月28日 2,415件 漏洩 不明
藤い屋オンラインショップ 2018年10月15日〜2019年1月28日 477件 Type5
エンターテインメントホビーショップ ジャングル 2017年5月2日〜2018年11月6日 2,507件 漏洩 Type2
ヤマダウエブコム・ヤマダモール 2019年3月18日〜2019年4月26日 37,832件 漏洩 Type4
https://blog.tokumaru.org/2019/05/credit-card-information-leak-incidents-2019-1-5.html?m=1 >>90
古いフレームワークやミドルウェア使ってて既知の脆弱性放置してるとこうなる
EC-CUBE2とか ここまでされたらもうダメだな
面倒な時代になったなぁおい
>>76
何も説明してなくね?全く違う事も説明出来てないし…何しにきたの僕ちゃん ヨドバシで
ネットで頼んで
店舗受け取りにしたらええねん
支払いは店舗で出来る
これは店側の問題?ちょっと前にクレカ不可のネットショップで代引き選んで進んだら、クレカの入力画面が出てきたw。サイトに連絡したんだが、俺のパソコンのウイルスチェックをしろと言われた。
>>96
大した知識ないなら書き込まん方がいいぞ
はじかくだけだから デビットでも危ないからプリペイドにしとけ。無料で発行できるところはいくらでもある。
国際的な取り決めで、国境を越えて犯人をブチ殺しに行くようにしたらよくね?
>>19
カード会社から「購入止めましたが、航空券4枚買おうとしました?」って照会があったけど、流出が思い当たるとすればヤマダくらい(カードは作り直した)
そのヤマダからはお詫びの500円商品券届いて終わり >>104
中国人はそうするらしいな
海外FX業者多分呑み業者が袋叩きに成ったらしい >>51
JNBのデビットで番号変えるともっと安心 先週まさに小規模店舗で決算時にエラーが出て一旦戻ってやり直したから不安だわ
まさにタイムリー
で、見分けるとか対策はないの?
やらないのが1番ならそうするが
0000-0000-000みたいな絶対エラーのでる番号を記入してみてから
エラーで戻ってくれば正規の購入画面に戻るんだろ?
やってみれば?
>>112
大手でしかも返品可能な所しか無理だろうな >>39
貴様のって書いてあってほっこりするやつか 代引きは5万円以上は廃止傾向だからこれは辛いな
選択肢が銀行振り込みしかなくなる
俺の場合、アドオンで無駄なスクリプトはデフォで実行禁止にしてるから
うっかり解除し忘れてカード決済画面でエラーが出ることはよくあった
なんか怖いな
>>69
へ?そんなのかからないぞ。
普通のクレカと同じ。 >>20
預金がないからクレカでリボ払いなのはあなたの事情で普通は預金あるけど持ち歩いてないからクレカ一括払いじゃないか >>47
乗っ取りありまくったTwitterでよくそんな気になるわ さすがにこれはサイト改竄しないと無理な手法だよな?
あるいはブラウザに変なアドオン入れさせるとか?
これは不可避だわ
気をつけないといかんね
って何を気をつければいい?
エラー画面で不審に思っても既にカード情報抜かれたあとってのがね
さっきアマゾンでいつもどおり注文しようとしたら
カード番号入力しろって出たんだが
今までこんなの出たこと無い
おかしいな
騙しリンクでアマゾンプライム登録させようとするのをやめろよカス
カード本体は磁気からICチップへとセキュリティ強化とかやってるけど、ネット決済だと番号入力するだけだからなあ。
カードの番号、期限と生年月日わかればカード本体無くてもいけるってよく考えたら怖いよな。
やっぱりコンビニで専用カード前払いが・・・って余計にパクられるがな。
しかも保証もない。
これって自社サイトで決済までするところがやられているのか?
決済会社のサイトに飛ばされるところは大丈夫なのかな
>>130
この手法はサイト改竄を伴ってるだろうから、カード会社に飛ばされた後の決済は大丈夫でも決済に飛ばす自社側の処理に細工されて偽決済画面や偽決済サイトに飛ばされてしまえばなかなか気づけないと思う。
偽決済サイトに飛ばされたならサイト証明書で気付けるかもしれないが、外に飛ばす前に偽決済画面で偽決済させれらてたら証明書では気付けない。
そこのヘビーユーザーであれば遷移のちょっとした違和感で気付けるかもしれないって感じじゃね。
というかサイト改竄される状況ってのが論外だから、もはや決済をどこでやるかの問題じゃない。 >>132
カードナンバーを入力する画面が精巧だと見破れないだろうね。SSLが外れているかわからないけど。
エラーが出てから一度戻るそうだから、それで気づくかどうか。気付いたとしてもカード番号は奪取されてる。
タチが悪いやり方。 登録したカード情報を使うだけだが
毎回入力しているのか?
気をつけろつったって
サイトが改ざんされてたら、利用者は気をつけようがないわな。
>>134
サイトによってはカード番号を保存するかしないか選べるから。
小売店の通販だとその都度入力のところもあるよ。 
