フェイスTWOTOP個人情報流出とGIGAZINEマルウェア感染

2010年9月29日

フェイス(Faith)とTWOTOPから顧客情報が漏れたようです。

いずれもBTOメーカー、Faithは当ブログというか私が個人的にパーツが激安としてお勧めしており、TWOTOPも左のBTOメーカー一覧に一応有り。GIGAZINEは別件ですが、記事内から頻繁にリンクを貼るため情報として。

対処法と今後の防御策として書いて参ります。

双方は無関係ですが、セキュリティの意味では同様。

  1. Faithでクレジットカード情報一部、TWOTOPはIDとパスワード漏洩
  2. GIGAZINEなど9月24日21時半頃から約3時間マルウェアを拡散

 

Faithでクレジットカード情報一部、TWOTOPはIDとパスワード漏洩

何が有ったのかはユニットコムが素早く特設ページを作っております。

「フェイス」「ツートップ」ネットショップへ不正アクセス発生のご報告とお詫び
http://www.unitcom.co.jp/info_0927/

ユニットコム緊急お客様センター

2chでは確か中国の攻撃だとして騒いでいたような気がしますが、それはさておき説明の初めにユニットコムから解説が書かれております。誤魔化しても意味が無いため真実でしょう。

9月初旬より、(中略)会員情報データベースをフェイスサーバーに移管して保守作業を実施しておりました。そのため、フェイ スとツートップご利用のお客様の情報が流出する事態が発生致してしまいました。

長くなるため一部省略しておりますが、通販のみで現地購入は無関係。

しかし何故サーバー移管の保守作業に対して不正アクセスが関係有るのか。そこまでは書かれていませんが、ページ後ろ辺りに海外からFaithサーバーへ30万回以上の不正アクセス攻撃と書かれており関連性が不明。

以前流出したメッセサンオーのアダルトゲーム購入者情報漏れ事件のようなCGIがというレベルでは無いと思いますが、やり方(やられ方)を書くとまずいのでしょうな。

経緯が長いため要点のみ引かせてもらいます。

  1. クレジットカード会社より情報漏洩の可能性有りとして調査依頼有り
  2. クレジットカード番号、有効期限が閲覧された痕跡を確認
  3. ツートップのログインID・パスワードが閲覧された痕跡を確認
  4. フェイスのカード決済、ツートップのログイン機能を停止
  5. 調査会社ラックの速報提示で流出した可能性があることを確認
  6. フェイス管理クレジットカード情報を最大74,048件が流出の可能性
  7. ツートップ管理のID、パスワード最大180,074件が流出の可能性
  8. フェイスでクレジットカード情報流出の可能性有る顧客へ郵送で連絡中
  9. ツートップでID・パスワード流出の可能性有る顧客へメール連絡中

内容と今後の対応より一部引用。

流出の可能性があるお客様

  • フェイスで2008年6月26日~2010年8月17日にカード決済で購入
  • ツートップで1999年6月29日~2008年9月10日に会員登録

ツートップのログイン機能は停止し悪用される可能性無し(?)

住所氏名などの漏れ具合は調査中。現時点で流出は確認されていない

流出の可能性あるカード番号は各カード会社に連絡を取り協議し対応予定

件数が何件だろうと規模を表すもので、私らが知りたい事は自分の情報が漏れたかどうか。私もフェイスで購入履歴有りカード決済していましたが、事前に対策済のため特にやる事はございません。

いずれも情報が特定されており、Faithはカード番号と有効期限、TWOTOPはログインIDとパスワードのみ。

現時点ではと念を押されていますが、名義やカード裏の番号、カードのパスワードが無ければ決済出来る所は少なく。IDとパスワードもログイン出来なければリスト丸ごと漏れたわけでは無さそうなので個人情報全部とまでは行かないでしょう。

万一、カードの不正利用が有ったとしてもユニットコムが止めるかカード会社が補償すると思われ問題なく、停止中なら良い対応。TWOTOPも同様です。

しかしユニットコムの書き方や内容は素晴らしい出来。

エプソンダイレクトのリコール大騒ぎもそうですが、どこまで重要として大袈裟に伝えるか。内容を簡潔に、連絡先を何度も表記するなど参考になります。何の参考にするかは知りませんが。

実際に漏れた部分もはっきり何度も書いており、現時点ではという条件付でユニットコムが何も隠していないとは言えませんが個人としては急いで何かする事も無いでしょう。

MCJからもリリース(注:PDF形式)が撒かれており天晴れでございます。

MCJのユニットコム系情報漏洩告知

直結のマウスコンピュータでは不具合情報をプレスリリースまでしないものの、自社サイトで続々と上げており、この手の企業は個人的に信頼しております。

TWOTOPで購入した事が無く、有っても私は会員登録しないため無関係ですが、Faithは有り。メールの件名(Subject)は「ご注文内容の確認【(以下略」、差出人(From)は「フェイスインターネットショップ <shop@faith-go.co.jp>」です。検索する際にどうぞ。

クレジットカード番号を使い捨てる方法

JNB(ジャパンネット銀行)ではカード番号を使い捨てる事が出来るワンタイムデビットという無料サービス有り。10日で有効期限が切れる方法がございます。面倒ですが私は毎回これで決済。

ジャパンネット銀行:VISAクレジットカードとワンタイムデビットの違いは?
http://www.japannetbank.co.jp/service/payment/cardless/compare_1.html

JNBに普通口座が必要で上限10万円(以下にも設定可能)、PayPalや一部通販では使えないなど不便な面も有るものの、手間な以外は支障無し。JNB口座が有るならお勧めです。無いなら口座維持手数料とか妙なシステムが有るため作る際はご注意有れ。

個人情報に偽情報を書いて発送してもらう方法

通販で購入する際、住所、氏名、電話番号は正確に書かなければまずいものの、限りなく嘘に近い事も出来ます。

電話番号は子番号を付けて発信番号通知が無いものは着信拒否にして知らない番号は出なければ結構。月数百円のオプションで行けるかと。PHSは2年縛りで月10円契約など有り専用電話も粋です。

氏名を誤魔化す方法は最も安全かつ簡単なやり方は同居している親に頼んで名前を貸してもらう事。徐々にグレーかつ危険になりますが、姓を正しく名は適当でも大抵届きます。どちらも変えるならA様方、B宛としてAに本名の姓のみとしBは架空の下宿人として。もっと言えば、表札の下に屋号(明日素商事 C山D夫)など書けば全部偽名でも届きます。

住所は難しいので郵便局留め、宅配なら営業所留めとして宅配業者へ「不在が多いので預かってくれ」と着日を言えば預かってくれます。受け取りの際に身分証明が要るので偽名とは同時に使えず工夫が要るでしょう。郵便や宅配へ転居届けを出して全く違う住所から転送してもらう手も有りますが、届かないかも知れないためお勧めはしません。

ポイントは有効期限や購入頻度を考えて捨てる

私が会員登録しており個人情報を預けている企業はドスパラとツクモの2種類。Faithやソフマップでも買いますが、年に1度有るかどうか。Faithはポイントがしょぼいため毎回ゲスト購入しています。

ゲストなら個人情報を保存されないという意味では無く、IDとパスワードさえ判れば誰にでも購入履歴まで見られる状態が嫌だという考え方。

ポイントの有効期限や購入頻度、金額からポイントの溜まり具合を考えて大した額にならないならBTOメーカーに数円や数十円分寄付、または個人情報保守費用として会員登録しない考え方も有りましょう。

私は100円を超えそうなら問答無用で登録します。

 

余計な事も書きましたが、クレジットカード決済するならカード毎に用途を分け、ライフライン用、オフライン用、オンライン用と三種類が得策。

今回のようにFaithがやらかしたならオンライン用のカードの停止を連絡すれば、その日にカード会社が止めてくれます。電気代やプロバイダまで止まってはしゃれにならない。

但し、カード枚数が増えると枠の合計も上がり、総額が借金と見なされてローンなど通りにくかったり減額されるため作り過ぎにはご注意を。

汚いやり方ですが、ポイントバックやアフィリエイトの自己購入OKからカードを作り、通販で使い支払った後、数ヶ月で契約解除も有りと言えば有りでしょう。もちろんお勧めはしません。

 

GIGAZINEなど9月24日21時半頃から約3時間マルウェアを拡散

先のユニットコムとは全く関係無く、こちらはマルウェア(Wikipedia)を撒いていたというお詫びなのか何なのか良く解らない記事。 

偽セキュリティ感染、原因はマイクロアド広告サーバへの攻撃-GIGAZINE
http://gigazine.net/index.php?/news/comments/20100927_security_tool/

ユニットコムの緊急お客様センターとした特設ページでは明らかにプロの仕業と思われるページ作りでしたが、GIGAZINEのお詫びと思われる文は初めのここだけ。

もう少し早くこちらで特定できればもっと早くに非表示にして被害を抑えることができたのですが、これが限界でした、非常に申し訳ないです

(中略)

もっと早くこのことに気づくことができれば被害を抑えることができたのにと思うと、非常に悔しいです。

以前、デジタルマガジンが改ざんされGamblerを撒いていた事を思い出しますが、デジマガも当初は攻撃者が悪い、悔しいなど書いており、意図せずとも仲介した事には変わりなくお詫びは?と聞いた所、正式に文章が出され私が勝手に納得。

少しでも非が有るなら認めて詫びて経緯を報告、対応が書かれ今後の対策が書かれる事が普通と思いますが、ややずれている気がします。

そして余計な事も書いている件。

今回の件は広告を表示していた各サイトが乗っ取られたわけではなく、それぞれのサイトで表示していた広告配信サーバが乗っ取られたのが原因なのですが、そ のことが一般の利用者には理解できず、「RT希望!~~のサイトを絶対に見ないで下さい!ウイルスに感染します!」みたいなデマもあっという間に Twitter上で広まりまくるという事態に発展してしまいました。

訪問者から見るならデマでは無いし、一般の利用者が理解出来ない内容というなら簡潔にアクセスするなと告知は親切。

被害を拡大しないためにtwitterで広めてくれてありがとうと書けない(そういう発想が出来なかった)GIGAZINE編集者にガッカリです。

確かに悪いのは攻撃者なので今後もネタは引かせてもらいますが、金勘定のし過ぎで信頼を落としていると言えましょう。

しかしGIGAZINEただではこけない。どうしたら良いか対処法がいつも通り画像入りで解りやすく説明されております。既にマイクロアドの広告は止まっているらしく、マイクロアド側も対処したらしいので、心配ならリンク先を御参照有れ。

上記の時間帯以外でも特にIEでアクセスしているなら感染の可能性有り。

 

オンラインは不正アクセスや情報漏えい前提で運転中

所詮人間が作った物を人間が操作しており、完璧なセキュリティや不正対策は無いと思った方が良いという意味にて。

実は当サイトでも以前罠に掛かった事が有り、大変申し訳無く悔しいのですが、アクセスカウンターにマイクロアドの行動追跡と思われるcookieが仕込まれていた事が判明。随分前に一ヶ月くらい表示していた過去一週間分のカウント。

i2i無料『アクセスカウンター』
http://count.i2i.jp/

Flashのこんなやつです。

i2i-counter.jpg

microadへ送信すると思われるcookie、3ヶ月有効。

microad.jpg

運営はエムフロというマーケティング屋。

害は無く、Yahooなど大手サイトでもMicroadの行動追跡型広告やクッキーは有るものの、無料で有れ利用するサイト管理者に隠している時点で気に入らず取り外し。まさかアクセスカウンターに仕込まれているとは思わず驚きました。

これを言い出すとGoogleやYahooのコンテンツ広告も似たようなものですが、管理者の知らない動作をするという事は悪意有る作業も出来てしまうとして。別の言い方をすると、私がマイクロアドのやり方が気に入らないだけです。

マルウェアばらまきサイトは即エラー出して停止が正解

セキュリティに完璧は無く、暗号化も64bitが128bitになろうとコンピューターの進化で追い着かれ更に強化せざるを得ず。日本企業の雇われより世界のクラッカーの方がレベルは高いと思えば改ざんはどこでも有り得る話。

GIGAZINEはもう一つミスをしており、マルウェアを撒いていた時間帯に運営を止めていない事。感染の疑いは21時半頃。判明した時刻が23時59分、削除が0時27分と有り、せめて23時59分からでも全ページの公開を停止するが最善。

判っていて30分近く放置していたという事は、当サイトが同時間帯30分間100人以上の訪問が有るためGIGAZINEなら1000や2000人ではきかないでしょう。

もし当サイトが改ざんなどされた場合は、私または手伝っている業者が気付いた時点でメンテナンス中(503 Service Unavailable)を返すので何が有ったかはtwitterにてお詫びとか悔しいですとか書いてみます。

アクセス増でも自動で503を返してしまうため、炎上やメジャーサイトからリンクされているかも知れませんが、更新に疲れて故意にエラーを出して遊びに行っているかも知れません。

探さないで下さい。

今月のオススメBTOパソコン

リンク用ソース

コメント(7)

私が被害者になったことがあるのは、2004年のアッカ・ネットワークスの顧客情報流出で、事の起きた時点ではもう既にACCAとは解約していてユーザーではなかったのですが、しっかり流出分の中に私の個人情報が入っていたっていうw
何年も前に解約しているユーザーの情報を何故に保持し続け流出させたのか意味不明ですが、なんかもうね。アホかと。
ちなみに去年だかにイーアクセスに吸収されて解散、会社自体無くなってるしw

当時は都市部で賃貸住まいでしたから、その後数回転居して住所も電話も変わっており、その辺は問題ないのですが、目に見える形での主な実害はというと、メールアドレスが拡散したことで、それまで月に2、3通だったスパムが、日に50通とかになって盛大にフイタことw
実は事件を踏まえてプロバイダーが気を遣ってくれ、あんな事になってますので流出該当メアド変えませんか?無料でできるようにしますので・・・とか言ってくれたのですが、いったいどのくらい影響があるのかと思って、モノは試しと放置してみたら効果てきめん過ぎワロタ。激しく後悔w

もっとも、サブアドだったんでそんなアホを試せたわけですが、逆に変更するにしても、アドを変更した旨の通知を、やりとりのある相手全てに対して自分でやらなければならないわけで、それ考えただけでも相当欝になるっていう話です。

まあ、未だにそのアド普通に使ってるんですけどねw
おかげでアンチスパム系ソフトに詳しくなるから困るw


上場を預けた相手にやらかされる以上、自分じゃ防げませんし、考えられる対処は捨てアド、捨てアカ、捨てクレカ等色々あるのでしょうけれど、用心を重ねて増やせば増やすほど今度は管理が煩雑になるという・・・なにこれ哀しい。

私も昔、ファミマの会員カードで個人情報の流失被害(実害ナシ)に遭いました。
カードを作った理由が(恥ずかしながら)浜崎あゆみのコンサートチケット申し込みのためであり、クレジット機能のない単なる会員カードです。
新聞で流出が報道された後、ファミマから詫び状と500円分のVISAカードが送られてきました。
娘から「オッサンの個人情報には500円の値打ちしかナイんや」とバカにされた事を覚えています。

私もネトゲの個人情報が流出ということがありました(実害はスパムメールが未だに来てることくらいです)。
お詫びと、パスワード等の変更済みであるので後ほど御自分で御変更下さいとのメールが来ていました。
しかしながら私はヒツジ先輩の記事の様に、メールアドレス以外は全て嘘のことを書いておりましたので、特に問題はありませんでした。

過去に何度となくカードケース・キーケース・財布を、バス・電車・タクシー内などに置き忘れたことがある私としては、流出なぞどんとこい、という姿勢です。素晴らしいことに全て見つかりましたが

偽セキュリティソフト「Security Tool」に限らずですが、こういったマルウェアはやたらと削除・アンインストールが面倒ですね。実行ファイルを削除しても復活することが多いですから。逆に考えると、Windows系OSなら「Windowsフォルダ以下」で削除してはいけないファイルは同様の仕様とすれば、誤って削除→OS起動不可、という事態が起きなくなる気もしますが

幸いにして個人的には被害を受けた事はありませんが、流出元の会社の
対応を見ると、その会社(経営者?)の体質というか危機管理体制が
透けて見えるのが興味深いですね。

適切な情報管理ができていない会社もまだまだ多いというのも一因で
しょうが、場合によってはいくらコストをかけても防ぎようの無い部分
もあるのも現実で・・・
要は被害を拡大させない対策、対応ができるかどうかということなので
しょうね。

攻撃>お漏らし>ちょ、ゴメ・対策>新技で攻撃>・・・以降ループ

一部では評判の良くない店舗で、こちらのブログでは褒めている記事をよく見ましたが購入せず様子見してました。

情報の是非はサイト単位や出所ではなく、情報そのものを比較し判断すれば評判のよろしくない所でも正しい情報が拾えるなと最近思います。

> TakaQ さん

ISPのメールアドレスという繋がりで行くと捨てメール状態。通信料3分10円とかやっていたアナログ時代は近く安いISPを探したものですが、現在は2年で乗り換えるた方が安い為、ISPもメールアドレスを無くしている所も。

Googleを信用するならGmailが安全で安心かつ高機能。
ドメインを持っているなら多少高く付くものの、使い続ける前提でドメインに何か適当な文字を付けてメールアドレス量産して次々に捨てる方法も有ります。ちなみに私はメールアドレス60個くらい持っており、20個くらい常時使っています。

> 通りすがりの偏屈者 さん
オンラインで支障無いなら個人情報は真面目に書かない事が基本ですな。
特に昔ながらのネット住人なら本名を書くとか住所などは御法度です。
漏れた経緯のギャップ、久々に一人で声出して笑いました。失礼(笑)

>HNの接頭辞が通りすがり さん

ネットゲームは漏れる前提ですな。管理は日本でもサーバーは韓国が管理とか。
ラグナロクかリネ2か忘れましたが、個人情報に嘘が多いから修正しろと運営からメールが有り、住所を「ムーミン谷」にしていた多数がBANされたという事件が有り大笑いしました。実在する適当な住所、が良いかも知れませんが自己責任という事で。

> 庶民A さん

ふと、マイクロソフトが悪いと思った私はアンチ過ぎでしょうか。毎月や緊急で何度もアップデートする割に、Windows関連のファイルによる支障が多過ぎる気が。

> 桂 さん

漏れてもどの程度の罰則にすべきか未だに適当な為、しばらくは500円程度で誤魔化せば良いのでしょう。全ての企業にセキュリティ専門の担当が居るわけが無く、知識も私のようなレベルがごろごろ居るかと。

Googleで妙な検索をするとデータベースと思われるファイルがヒットしたり。もちろんアクセスはしておりません。

> kata さん

本文と関係無いため外へ飛ばそうと思ったけれど面倒なのでついでに。
メーカーや店単位でPCという物の善し悪しを言う時点で間違い無く初心者です。自覚をどうぞ。意味が解らないならそのまま購入しない、または自己責任になる自作PCを強くお勧めします。

コメントする ※要ユーザ登録&ログイン

BTOパソコンメーカー比較

パソコン工房

高性能: ★★★★ 長保証: ★★

コスパ: ★★★★★ 安保証: ★★

部品選: ★★★☆☆

初心者や実用重視のPCユーザー向け。デスクトップ以外にノートも多数有り価格と性能のバランスが良く選びやすい。全国に実店舗が多数有るBTO PCメーカー。

マウスコンピューター

高性能: ★★★★★ 長保証: ★★

コスパ: ★★★★ 安保証: ★★

部品選: ★★★☆☆

パソコン工房と同様に機種が多くノートの取扱も有りゲーム用やクリエイター向けPCも有り。送料が比較的高額なので総額注意。知名度は国内トップクラス。

ドスパラ

高性能: ★★★★★ 長保証: ★★

コスパ: ★★★★ 安保証: ☆☆

部品選: ★★★☆☆

デスクトップPCならパソコン工房とマウス以外にドスパラも見る価値有り。秋葉原に本拠地を構える昔ながらのBTOパソコンメーカーで知名度はマウス並に高い。

DELL

高性能: ★★★☆☆ 長保証: ★★

コスパ: ★★☆☆☆ 安保証: ☆☆

部品選: ☆☆☆☆

2011年頃から安く無くDELLを選択肢に入れる理由が薄く回線抱き合わせ販売の価格がまぎらわしい。ゲームPCのAlienwareは見た目重視コスパ最悪なので要注意。

日本HP

高性能: ★★★★ 長保証: ★★

コスパ: ★★★☆☆ 安保証: ★★

部品選: ☆☆☆☆

高性能ノート以外は見る価値が薄く高額なLenovoという感じ。早々にWindows 7を捨て8に切り替えたので7が必要なら行っても無駄。2012年後半から迷走中。

TSUKUMO

高性能: ★★★★ 長保証: ★★

コスパ: ★★☆☆☆ 安保証: ★★

部品選: ★★☆☆☆

ヤマダ電機による買収後はマニアックな感は無くなり家電通販のような普通のパソコン屋に。BTO PCは機種が少なくやや割高。ツクモファンなら選択肢へ。

FRONTIER

高性能: ★★★☆☆ 長保証: ☆☆☆

コスパ: ★★☆☆☆ 安保証: ☆☆☆

部品選: ★★☆☆☆

2013年7月に(株)KOUZIROが倒産しヤマダ電機子会社インバースネットが続投。長期保証が消滅。これと言った特徴が無く難点は有れど利点が見当たらない。

サイコム

高性能: ★★★★★ 長保証: ★★

コスパ: ★★☆☆☆ 安保証: ★★★

部品選: ★★★★★

自作しない中~上級者のPCユーザ向け。初心者にはカスタマイズが難しく動かない構成でも購入できるので注意。パーツへのこだわりや知識が有るなら。

※並びはBTOメーカーの知名度の順。大小関わらず信用できない要素があるメーカーは未掲載。

勝手に評価シリーズ

結果として宣伝になっていますが依頼されたわけでは無く、依頼されてもやりません。

データ復旧のIUECを勝手に評価
あなたの街の~を勝手に評価
ESETセキュリティを勝手に評価

お知らせ


Windows 7サポート終了は2020年1月14日

カテゴリと更新通知

プロフィール

ヒツジ先輩

書いてる人:

BTOパソコンの元修理担当。ハードウェアに超詳しいワケではありませんが、どうしたら故障するのか何となく解るので壊れにくいパソコンを紹介します。