【セキュリティ】11社のサイトで顧客情報流出か　タリーズコーヒーなど　警視庁捜査 [香味焙煎★]

　東京都内に拠点を置く11の企業や団体の電子商取引（EC）サイトが不正なプログラムを仕掛けられて改ざんされ、少なくとも10万件以上の顧客情報が抜き取られたとみられることが捜査関係者への取材で判明した。同様の被害は全国で相次いでおり、警視庁などは不正指令電磁的記録供用容疑なども視野に捜査している。

　捜査関係者などによると、都内で被害が確認されたのは、大手コーヒーチェーン「タリーズコーヒージャパン」（新宿区）や「全国漁業協同組合連合会（全漁連）」（中央区）など11の企業や団体が運営するインターネット通販などのECサイト。

　何者かが利用者を装い、ECサイトの注文フォームなどに不正なプログラムを発動させる文字列を入力。サイトの運営側が入力された内容を確認すると、プログラムが発動し、攻撃者側が遠隔でサイトを改ざんできる仕組みだった。

　その後、ECサイトで顧客が新規に個人情報を登録すると、それが攻撃者側に流出していたという。

　改ざん後もサイトでの買い物などは通常通りできるため、運営側が長期にわたって被害に気づかないケースも確認されている。タリーズからは2020年10月からの約3年半で顧客のクレジットカード情報など約9万件、全漁連からは21年4月からの約3年で約2万件の情報が抜き取られていたとみられる。

　他にも数万件単位で情報流出が確認されている企業もあり、被害はさらに拡大しているという。

　改ざんには、特定の国で使われる文字列が使われており、警視庁などは海外の犯罪グループによる攻撃の可能性があるとみて捜査。IPアドレス（インターネット上の住所）などを解析し、情報の流出先などの特定を進めている。

　情報セキュリティー大手「トレンドマイクロ」で企業などのアドバイザーを務める岡本勝之さんは「被害に遭ったECサイトは、遠隔操作で改ざんできる『穴』があったとみられる。即座に検知するプログラムを導入するなど、定期的にセキュリティーを更新する必要がある」と話した。【加藤昌平】

毎日新聞
2024/12/2 19:28（最終更新 12/2 21:07）
https://mainichi.jp/articles/20241202/k00/00m/040/206000c

コーヒー屋に個人情報預ける場面あるか？
豆の取り寄せを頼んで記帳したの？

さすがＩＴ後進国

どんな文字列使えばこうなっちゃうの？

その11社は？

安定の全魚連、つうかこれはちょっと可哀想では

で、どこの会社に発注したシステムなの？

>>4
ヌルポ

コーヒーはヤオコーの２割引きセールの時しか買わないからセーフ

ほか９社は？
なんで隠すの？

タリ～

>>8
ガッ

タリーズとかチャージとかプリペイドとかやってるし今コーヒー豆が高騰してるからね　仕方ないね

これ少し前10月頃にニュースになってたやつだろ？
WEBスキミングと言って、決済ページじゃなくてTOPページにスキミングが仕込まれていて
決済開始から行われるCMS：セキュリティ制御が無効になってるっていう攻撃
角川とか結構な数の「自前でクレカ情報を持たない」PCI-DSSのレベルの低いサイトが
軒並みやられてる

ECサイト毎にそのサイト専用のメアド発行して利用してるけど
メアド情報が流出してSPAMが来るようになったのが数件あるわ

どこもかしこも専用アプリ作って会員登録させるから

中のコード書いた下請け業者が仕込んだんだな

本当に無能だねジャップは
(´・ω・`)

サイトのサーバーの中で動いてるコード書いた業者調べたら犯人わかると思うがどうなん？

＞IPアドレス（インターネット上の住所）などを解析し、情報の流出先などの特定を進めている。

ここ笑うところです

刺身喰いながらコーヒー飲んでる俺ヤベー

魚協にどんなデータがｗｗｗｗ

やられまくり

>>1
ったく、たりーな〜

情報流出させた企業は重い処罰を与えるとかしないと駄目だろ
そうじゃないと本腰入れて対策しないと思う

>>22
2回先生にいくら渡したとか…

はい闇サイトに流されて犠牲者増えまくるぞ

そっち系かｗｗ
こいつ毛ガニ注文してやんのｗｗｗｗｗ
とかするのかとおもた

なるほど、こういう情報が流れて強盗に入られるのか

危機管理意識が
足りず

>11の企業や団体が運営するインターネット通販などのECサイト。

はよ『など』の部分を教えてくれや

韓国L○NE？

>>1
どこの企業やサイトなのか一つ一つ教えてくれよ
対処するべきかどうかわからん

>>32
あり得るよね。

ECサイトの脆弱性やバックドアはろくでもない

暗号通貨より酷い

>>34
韓国サーバーの韓国L○NEだからね！

腸活コーヒーが値下がりしない
スーパーで140gを600円くらいで買ってたんだ
今は80gでそれくらいの値段やぞどうなってる？

トレンドマイクロごときに聞いて参考なんのか？

でもネトウヨが流出して困ることないから問題ないって言ってたよ

>>31
2020年 クレジットカード 情報漏洩とかでググるとプレス出してるから何件か分かるよ
みんなタリーズと同じ時期からやられてるから

イット　イズ　イット

>>1
もう漏れるのは当たり前なんだから個人情報なんて求めるべきではないデショ

見つかっただけでコレだろ？それも3年間放置って
4年前からとしても以降登録したサイトは全滅くらいに考えた方が良いかもな

ECサイトとか1回買ってそれっきりって(サイトとか確認しない)人も多いやろし
ちゃんと公表するべきやと思うんやが
利用者が一番の被害者やろ

マイナンバーカード持ってる人は個人情報の漏洩に同意してるんだから被害なんてほとんどないんだろな。

>>38
昔個人情報流出させたことあるから経験談やろ

>>32
共通するプログラムが使えるってオンライン決済だろ
LINEペイは終了するってこのことか

所詮は人間か作ってるものだから作ってる人に悪意があれば簡単に犯罪できるよな
昔ならパチンコスロット系の機種にバグを残して荒稼ぎしたり

>>19
セキュリティの脆弱性をついた攻撃だから
なんらかのコードを仕込んだというわけではない

>>8
ｶﾞｯ

>>15
俺はDellで専用アドレス作ってPC注文した翌日にスパム来るようになった
Dellに事情を説明したらアホ扱いされたので注文キャンセルしたわ

開発もだけど、運用もひどい

>>4
インジェクション・アタック
古典的なやつ

システムで抜かれるし
フィッシングメールで騙されるやついるし
迷惑フィッシングメール多すぎと思ったけど最近ぱったり止まったな認承ドメイン判定で元栓閉めたか

その11社に共通してる事書けよ

>>1
同じところに作らせた？そこを発表しないと
さらに増える恐れがある

闇バイトが来るぞ
逃げるか戦の準備をしろ

経費削減しようと思って自社でシステムを構築するとセキュリティ穴だらけ予期せぬ不具合も起こり高い代償を払うよ
業務基幹システムの構築運用は金がかかってもプロに任せたほうがいい

伊藤園ざまー

　
ＮＨＫ党党首の立花孝志氏は２９日、死亡した元局長が公用パソコン内に残した個人情報だとする文書などの画像をＳＮＳ上で公開しました。
　
入手ルートに怪しさしかないのに、兵庫県民はこんな情報に釣られるんだ（笑）
ヤバすぎ（笑）

ちなみに兵庫県議会他から被害届出まくってるから開示請求されまくってるけど
「拡散に協力したが捏造情報だと知りませんでした、拡散は頼まれたからやっただけ」
の言い逃れは裁判では通じないからな（笑）
　

>>1
＞何者かが利用者を装い、ECサイトの注文フォームなどに不正なプログラムを発動させる文字列を入力。
＞サイトの運営側が入力された内容を確認すると、プログラムが発動し、攻撃者側が遠隔でサイトを改ざんできる仕組み
クロスサイトスクリプティングとは古典的やな
管理端末側だとセキュリティ甘い場合あるからそういう業務的な弱点を突いた方法か

タリーズコーヒーって量少ないよな足りーずコーヒーなんつってなw

どこぞの国の文字って英語以外ってことじゃん
中韓露のどれだ

>>58
プロって富士通とかのこと？

マカフィーとか入れてないからそうなる

11社はどこやねん
タリーズだけじゃわからんだろ

>>31
あん？

充分タリ～は～

セキュリティパッチしないでほったらかしたからだろ。
PHPとかボロボロやん。

企業からするともうみんなで漏らせば怖くないんだろう。

どこが制作請け負ってるか公表したら？

こういう時に名前が出る企業と出ない企業って何が違うの？

闇指示役「この国のヌルい対応が、俺達を成長させてくれる。」

ウイルスバスター（）

全部、LINE経由だったら笑うな

入力データの無害化なんて、当たり前のはずなのに

先進国ニッポンw

タリーズは不味くて飲めない

>>41
進次郎乙

>>77
あの泥っぽさを缶コーヒーでまで再現する伊藤園はすごい

ポイ活か知らんけど
どうでも良いようなもんまで個人情報渡し過ぎだろ

>>28
草

某ネットショップはずっと安いけどそこで買うと迷惑メールが途端に山ほど来るので使うのやめたなぁ…大体はフィルターに引っ掛かるけど
親会社を何度も変えてまだやってる

などじゃなくて11社全部列挙せんかい

>>2
ECサイトって書いてあるべや
通販で住所氏名電話番号記入するのはデフォだんべ

>>83
詐欺師「リストが手に入りにくくなるので駄目です」

情報盗まれた企業にも罰則与えろよ
法律が時代遅れすぎて呆れるわ

タリーズはタバコ吸える店多いから許す
喫茶店は昔からタバコ吸いに行くところや

法人罰金1億円摘要頼む

>>55
ECサイト＝ショッピングサイト
顧客関連で共通するのは決済方法
現在オンライン決済はクレジットとスマホ決済が二大巨頭

>>4
password
1234567890

>>83
関連記事とか見ればペイメントアプリ改ざんされたところがいくつか載ってる
毎日新聞が言う11社かどうか知らんけど
https://www.itmedia.co.jp/news/articles/2410/03/news164.html

もうあちこちで個人情報漏れすぎて謝るだけでお詫びもくれなくなったな

カスペルスキー入れとけ
ロシア製だがこんなのは簡単に検知するし決済時は安全な別ウインドウで決済も出来る。
PCバスターみたいな事も無いし、やっぱ最強だわ

>>19
日本って多重請負が当たり前だから実際の実労働者の原籍会社なんてわからないのよ
闇バイトはゼネコンの責任回避の仕組みをそのまま当てはめただけともいえる
ITもITゼネコンやデジタル土方と言われるくらい似ている

>>51
アマゾンでそれやったらなぜか日大から科研費によるアンケートが届いた
住所細工してたんで間違いない
どこでも個人情報横流ししてるんだな

>>1
今年超開示ありすぎだろ

>>16
客も何故か専用アプリ欲しがるんだよね
弊社アプリ無いのでWEBサイトからの通販なんだけど何故アプリ無いのかて凄く言われる

個人情報漏れたら闇バイトに襲われるからなー
一般人でも自宅のセキュリティ対策やっておかないと

>>74
Twitter cloud もアプリは全部

>>99
現実を教えるのは酷だけど　現状アプリにセキュリティはない、と思った方が良いと思える

いつか美容整形の顧客情報が流出して大変な騒ぎになると思う

お漏らし国家日本をなめんなよ

11社全部出せやw

成らなくてもいい会員にポイント欲しさに入る馬鹿ばっか
うちの嫁もだけど

>>77
えー、俺はスタバの100倍好きだわ

これらの情報は反社AIに学習され住所、世帯収入や総資産を紐づけられリスト化され闇バイトさん達のお手元に届きます☺

流出での被害は確認されていないとか
免罪符みたいに言うだけだもん
無くなるはずないよ
で闇バイトの家庭訪問が捗る

>>100
常に新しい端末使ってるならまだしも皆そうでないでしょ？
ハードウェアも怪しい
脆弱性が公開されてメーカーがアップデート作るまでの間ノーガードになる
数年経てばアップデートがないこともある
スマホの脆弱性はあまりはっきりと公開されないしこっそり勝手にアップデートもある
このこっそり勝手にアップデートも本物か偽者かも分からない

>>100
常に新しい端末使ってるならまだしも皆そうでないでしょ？
ハードウェアも怪しい
脆弱性が公開されてメーカーがアップデート作るまでの間ノーガードになる
数年経てばアップデートがないこともある
スマホの脆弱性はあまりはっきりと公開されないしこっそり勝手にアップデートもある
このこっそり勝手にアップデートも本物か偽者かも分からない

サニタイズしてないとかいつの時代だよwww

バーコード決済の方が安全みたいだな

>>64
欠陥システムのプロを召喚しないでw

＞全国漁業協同組合連合会

あー、俺この間ここの会員登録したわ

忘れた頃に闇バイトがやってくるぞ
震えて待て

全社載せろよ
まじで

タリーズの福袋買う
幸い店頭購入のみだし電子マネーみたいのも使ってない
そもそも普段行かない
行動範囲にタリーズがない
スタバだらけ

キタチョンかロスケのしわざやな

タリーズばかり矢面に立たされて可哀想ｗ
全漁連もだが

漏洩しても、サーセンで済むからな

タリーズなんかに登録してるガイジwwwwwwwwwwwwwwwwww

マウントレーニアに登録しとったわ…

トレンドマイクロの人に聞いても糞の役にも立たんだろ

とった魚の情報だだもれ

クレジットカードは怖いね
振込手数料数回無料の銀行から入金してる

>>57
レーザーサーベルで対抗デス！

東朝鮮のIT w

技術者を蔑み業界まるごと奴隷にしてきたクズキムチジョーコーの愚行の結果

ノートン先生がいてくれたら

ショバ代ケチろうと自前でECサイトやろうとするとこうなる

>>2
カップに名前書いてもらって喜んでる連中だって居るじゃん
持ち物に名前書く小学生かよ

>>126
極東獣民令和国

わかっただけマシかもね

特定の国で使われる文字列ワロタ
つか、なんでこんなことになるんだよｗ

任意コード実行

>>110
ほんとだわ
なぜ今時こんな事件が起こるのか
それとも何か高度化してるんかな

これカード情報記入するのむっちゃやばいだろ
もうヨドかアマでしか買い物できねえわ

>>38
サイバーセキュリティで儲かってる会社ってあんまりないんだよ。大切なんだけどね。
セコムがあっても警察は必要だし空き巣とか強盗とか無くなってないし

自分はどうやら某菓子メーカー直販の不正アクセスでやられたっぽい
なんでクレカ情報残すんだよ
一回取引終われば削除してほしい

ルフィの名寄せがまた捗ってしまうな
あそこが一番データ持ってるだろw

GeoIPブロックできるルーターを再販すればいいのに。世の中V6推しだがIPv4しか使えないほうがセキュリティ高いぞ。

「直販サイトは情報流出を防ぐためにこういう風に作れ」みたいな決まった方法は
IT業界にはないの？

>>141
SQLインジェクションはパラメータ化クエリで防ぐ

しかし最近はインジェクションでデータベースの条件をごまかしてログインしたり他の会員のデータを見たりするのではなく、
サイトを改竄して入力した情報を攻撃者のサイトに送らせるようにする攻撃が主流

企業がよく個人情報を流出させてるが
逮捕しろよ
何の為の個人情報保護法なんだよ
流出しました～！…で終わりにしてんなクズが
流出した全員に30万ぐらい払えよ

信じられねぇ

警視庁なんて採用試験の難易度低くて
小学校レベルでなれるから
他の公務員試験すべったゴミがいきつく
掃き溜めなのに
　
自民党の為にありとあらゆる悪事させるために
学歴は低いが頭脳はキッレキレって自民党が褒めてるの本気にしてる馬鹿しかいねぇとか書かれてた
　
お前らを傷つけないように
数的処理とか、判断推理とかいう
試験名になってるだけで、小学生の国語と算数出題されてるのが公務員試験の教養試験だけど
警視庁なんて、それ解けないやつがなるんだよｗとか書かれてた

これ、嫉妬だよな？？？
みんな、どう思う？
　
俺らの中には官僚もいるじゃん
採用試験の問題が全然違うけど、、 （白目）

一日署長とかで制服のイメージをアイドルと紐付けさせたり印象良くするの頑張ってるし

ドラマでも、あり得ない設定を沢山見せた

マスコミも警察発表通りに何でも書くから、俺らって天才じゃん？

この前注文をFAXで送っていたうちの爺さんがもしかして大勝利？

トレンドマイクロ！グッジョブ！ナイス自作自演！！

＞改ざん後もサイトでの買い物などは通常通りできるため運営側が長期にわたって被害に気づかないケースも確認されている
＞タリーズからは2020年10月からの約3年半で顧客のクレジットカード情報など約9万件

3年半も気が付かないとかヤバすぎ

どうして会社名が出ない？
これこそ知る権利だろうが

紅茶のカレルチャペック数年前に一回だけ利用したのが今年になって漏洩が発覚したと知らせが来た
セキュリティコードもパスワードも住所もなんもかんも全部漏れてた
わかってて半年間利用者に秘密にしてた
今でもSNSじゃ知らん顔して福袋の宣伝してる

ずーっと言ってるけど　購入から仕分け拠点配送までワンタイムコードでいいじゃないかと思う　
簡単な個人情報保護
名前と電話番号記載不要
不在時は不在票入れれば　本人がコードアクセスで
宅配便と直電不要

>>150
一括管理を省庁が直受けでやれば個人情報保護できる　下請け出すから個人情報流出する

>>145
そしてその店がシュレッダーにかけず一般ゴミに出してry
ちなみにうちの地元にあるエログッズ店の実話w

マスゴミの報道しない自由ですな
これで日本は報道の自由が無いって事らしい。

漏洩させたシステム作った会社を報道するプライド持てや
火災の女性をあえて流したのもわいは一定の評価はしてるし

>>152
ごみ収集も民間委託だもんな
うちの自治体も気を付けないとだわ

たいへんだなここ