teacup. [ 掲示板 ] [ 掲示板作成 ] [ 有料掲示板 ] [ ブログ ]

[ ケータイで使う ] [ BBSティッカー ] [ 書込み通知 ] [ 検索 ]


フジテレビダイレクト

 投稿者:管理人  投稿日:2017年11月11日(土)10時25分25秒
  http://www.fujitv.co.jp/kokuchi/171110.html

平成29年11月10日
株式会社フジテレビジョン

「フジテレビダイレクト」への“なりすまし”(リスト型攻撃)による不正ログインについて

弊社が運営するチケット販売サイト「フジテレビダイレクト」(http://fujitvdirect.jp)において、外部で不正に取得されたと思われるID(メールアドレス)とパスワードを使った“なりすまし”(リスト型攻撃)による不正ログインが発生し、お客様情報が第三者によって閲覧された可能性、及び一部お客様情報の改ざんが行われたことが判明しました。

下記の通りご報告いたしますとともに、お客様には、ご心配とご迷惑をおかけいたしますことをお詫び申し上げます。

「リスト型攻撃」とは、不正アクセス(不正ログイン)を行う手法の一種で、あらかじめ用意したアカウント情報(IDとパスワードの組み合わせ)のリストをもとに、様々なウェブサイトに“なりすまし”のログインを試みる攻撃です。このアカウント情報は、他のサービスなどから不正に入手したものと想定されます。

なお、本サービスは、ぴあ株式会社が所有するインターネットチケット販売システムを使用して提供しております。



【1】確認された不正ログインについて

2017年11月7日(火)20:00~11月9日(木)8:30頃にかけて、リスト型攻撃(※)と見られる不正アクセスが確認され、断続的に“なりすまし”による不正ログイン、チケットの不正購入が行われていたことが確認されました。

[調査対象期間:2017年11月7日(火)0:00~9日(木)14:00頃]

“なりすまし”ログインの可能性がある会員(ID)数:181件
→うち、登録情報を第三者に閲覧され、個人情報を改ざんされた会員(ID)数:76件
→うち、“なりすまし”によってチケットの不正購入が行われた可能性のある件数:12件

閲覧された可能性のある個人情報:
氏名・性別・生年月日・住所・電話番号・秘密の質問・質問の答え
※クレジットカード情報については、一部表示のため漏洩はございません。

今回使われた ID(メールアドレス)・パスワードは弊社内からではなく、第三者が外部で不正に取得したものと思われます。

【2】本件に関して現時点で取られている対応について

・調査対象期間内にログインのあったIDについては、同様の被害を防ぐためログインパスワードを初期化
・不正購入された可能性のある会員IDのロック
・フジテレビダイレクト会員へのパスワードの変更促進メールの配信

<本件に関するお客様からのお問合せ先>
フジテレビダイレクトお問い合わせセンター
Tel:0570-02-9946
(受付期間:11/11(土)~11/17(金)・受付時間:午前9時30分~午後6時)

≪「フジテレビダイレクト」をご利用のお客様へのお願い ≫
お客様ご自身の個人情報保護のため、会員の皆様にパスワード管理の重要性をご理解賜わり、一つのパスワードを他の Web サイト等でもご使用になられていないかなどについて、改めてご確認いただきますようお願い申し上げます。
 
 

フジテレビダイレクト

 投稿者:管理人  投稿日:2017年11月11日(土)10時25分0秒
  https://headlines.yahoo.co.jp/hl?a=20171110-00050094-yom-soci

フジのサイトに不正アクセス、チケット購入被害
11/10(金) 22:31配信
読売新聞

 フジテレビは10日、コンサートなど主催イベントのチケット販売サイト「フジテレビダイレクト」で会員になりすました不正アクセスがあり、チケットが不正に購入されるなどの被害があったと発表した。

 同社によるとアクセスがあったのは7~9日。正規のIDやパスワードで本人になりすました不正ログインが181件確認された。そのうち76件で名前や電話番号、住所などの個人情報が閲覧されたり、情報の一部が改ざんされたりしたという。登録しているクレジットカード情報でチケットが不正購入された被害も12件あった。外部サイトから流出したIDやパスワードが悪用されたとみられる。

 サイト運営を委託された企業からの指摘で発覚。すでにパスワードを初期化するなどの対応をとった。

最終更新:11/10(金) 22:36
読売新聞
 

MXテレビ

 投稿者:管理人  投稿日:2017年10月 5日(木)01時43分39秒
  https://headlines.yahoo.co.jp/hl?a=20171004-00000147-jij-soci

個人情報37万件流出=MXテレビ
10/4(水) 22:44配信
時事通信

 東京MXテレビは4日、同社ホームページを通じて視聴者から提供を受けた個人情報のうち、メールアドレスとニックネームの情報約37万件と、氏名とメールアドレスの情報約1270件が外部に流出した可能性があると発表した。

 住所や電話番号、カード情報の流出はないという。同社は「今後このような事態を起こさないよう、情報セキュリティー対策を強化していく」とのコメントを出した。

最終更新:10/4(水) 23:18
時事通信
 

米国ヤフー

 投稿者:管理人  投稿日:2017年10月 5日(木)01時42分49秒
  https://www.jiji.com/jc/article?k=2017100400269&g=int

米ヤフー情報流出、30億人=当初発表の3倍、サイバー攻撃で

 【ニューヨーク時事】米インターネットサービス大手ヤフーの個人情報流出事件で、親会社の米通信大手ベライゾン・コミュニケーションズは3日、2013年8月に受けたサイバー攻撃で、アカウントを持つ30億人全員分の情報が盗み取られたと発表した。ヤフーは昨年12月、被害者数は10億人超と公表していた。
 米メディアによると、個人情報流出件数としては過去最大。ただ、一人で複数のアカウントを保有している場合もあるため、実際の被害人数は30億人を下回るとみられる。
 ヤフージャパンは「日本のサービスは独自運営されており、利用者が直接影響を受けることはない」(広報室)としている。
 ベライゾンによると、盗まれたのは利用者の名前や生年月日、電子メールアドレス、暗号化されたパスワードなど。クレジットカードや銀行口座などの情報は含まれていない。同社が6月のヤフー買収完了後、新たに得た情報を基に外部の専門機関に追加調査を依頼した結果、アカウント保有者全員の被害が確認されたという。
 ベライゾンは今回被害が判明した利用者に電子メールで通知しているが、米メディアによると、昨年12月の事件発表後、全アカウントのパスワードが強制的に変更されたため、被害者は新たな対策を取る必要はないという。
 ヤフーは14年にもサイバー攻撃を受け、少なくとも5億人分の個人情報が流出。この事件をめぐっては、米司法省が3月、ロシア情報機関の職員2人と実行役のハッカー2人を起訴した。(2017/10/04-12:49)

時事ドットコムニュース
https://www.jiji.com/
 

株式会社ビューカード

 投稿者:管理人  投稿日:2017年10月 1日(日)13時18分52秒
  http://www.news24.jp/articles/2017/09/28/07373802.html

顧客カード情報持ち出し 元派遣社員を逮捕
2017年9月28日 19:21

 顧客のクレジットカード情報を持ち出したとして、JR東日本の子会社「株式会社ビューカード」の派遣社員だった男が逮捕された。

 不正競争防止法違反の疑いで逮捕されたのは住所不定、無職の立場伸一容疑者。警視庁によると、立場容疑者は去年から今年にかけ、当時派遣社員として働いていた「株式会社ビューカード」の顧客のクレジットカード情報を印刷して持ち出した疑いがもたれている。調べに対し容疑を認めているという。

 立場容疑者は持ち出した顧客情報でクレジットカードを再発行した上、このカードでホテルの宿泊代金を支払ったなどとして既に逮捕、起訴されていた。

 警視庁は計25人分の情報を持ち出し、200万円以上をホテル代に使ったとみて調べている。

日テレNEWS24

 

東京ガス (2回目)

 投稿者:管理人  投稿日:2017年 9月23日(土)01時02分46秒
  https://headlines.yahoo.co.jp/hl?a=20170922-00000125-jij-soci

再び不正アクセス、ポイント被害も=情報流出106件―東京ガス
9/22(金) 20:07配信
時事通信

 東京ガスは22日、使用料金などをインターネットで照会できるサービス「myTOKYOGAS」が不正アクセスを受け、顧客情報106件が流出した疑いがあると発表した。

 うち24件では、使用料に応じて付与されるポイント計3万8000円相当が提携会社のポイントに不正に交換された。同サービスは8月末にも不正アクセスを受け顧客情報が流出している。

 東京ガスによると、不正アクセスは9月11日以降にあり、顧客氏名やガス・電気の請求予定金額が閲覧されるなどした。

 顧客からの問い合わせで20日に発覚。同社はすべてのサービス利用者にパスワードの変更を呼び掛ける。

最終更新:9/22(金) 22:13
時事通信
 

東京ガス (1回目)

 投稿者:管理人  投稿日:2017年 9月23日(土)01時02分7秒
  https://www.jiji.com/jc/article?k=2017090100995&g=soc

東京ガスに不正アクセス=顧客情報17件流出

 東京ガスは1日、使用料金などをインターネットで照会できるサービス「myTOKYOGAS」が不正アクセスを受け、顧客情報17件が流出した疑いがあると発表した。金銭的な被害は確認されていない。
 同社によると、8月31日午後に海外から不審なアクセスがあることに気付き、サービスを一時停止。調べたところ、IDとパスワードを次々に入力するアクセスが10万件以上あった。
 17件はIDなどが合致し、顧客の氏名やガス・電気の請求予定金額などが閲覧された。別のネットサービスのIDなどが流用されたとみられ、同社は顧客にパスワードの変更を呼び掛けている。(2017/09/01-17:31)
 

東武ホテルレバント東京

 投稿者:管理人  投稿日:2017年 7月 3日(月)09時35分8秒
  https://headlines.yahoo.co.jp/article?a=20170703-00523110-shincho-soci

〈新婦は知ったかぶり〉東武鉄道子会社の“挙式リスト”流出
7/3(月) 5:58配信
デイリー新潮

〈新婦完全主導、新郎は一切口出しをしない。面倒というより、口出しすると怒られるから……とのこと。金額もシビア。新婦は知ったかぶりの気が強い〉

 当事者が知ったら激怒するはずだが、東武鉄道の100%子会社である「東武ホテルマネジメント」傘下のホテルから、こんな内容の“顧客情報”が流出しているのだ。

 そのホテルは、東京・錦糸町にある「東武ホテルレバント東京」(レバント)。1997年開業で、「コートヤード・マリオット銀座東武ホテル」と並び“グループの旗艦ホテル”の位置付けだという。

「実は、ゴールデンウィーク明けから、ホテル業界の一部で“レバントの顧客リストが流出している”との噂が流れていたのです」

 こう声を潜めて語るのは、大手シティホテルの副支配人だ。

「流出しているのは、挙式予定の顧客リスト。期間は一昨年の12月から今年3月までで、式場担当者が顧客から聞き取った話をまとめたものでしょう。挙式希望日や招待予定人数なども書かれていますが、うちの担当者も作成している“アレ”が含まれているのはまずいですね」

“アレ”とは、式場担当者が抱いた新郎新婦への印象を綴ったもの。レバントでは「お客様特徴」なる項目にまとめられている。冒頭に紹介したのもその一部だが、他にも、

〈素朴だが夢見る夢子系。ドレスもピンク希望。お見合いサイト登録で出会い、お付き合い1年で入籍〉

■メールの誤送信?

 また、別のカップルは、

〈3カ月前にお見合いで知り合った。結婚が目的なので、結婚式に夢を見るというわけではなく、条件がマッチする会場を探している状態。外式希望だが、寒いのが嫌とのこと〉

 流出資料には氏名はもちろん、職業や年齢まで記載されているものもあり、挙式日をネットで検索すれば“個人”を特定できてしまうのである。

 流出件数は、最低でも44組以上。レバントの婚礼件数は一昨年が149組、昨年が131組だったことを考えれば、今回の流出件数は少ないとはいえないのではないか。レバントに勤務するホテルマンによれば、

「これはうちの書式ではありません。ですが、書かれている内容は、うちに来館したお客さまの情報で間違いないでしょう。ブライダルや宴会は、宿泊やレストラン部門より収益率が高い。そこでうちの経営陣が2年ほど前、ブライダル部門強化のために外部のプロを雇い入れたのです。恐らく、その委託業者が作成した資料をメールで送った際に誤送信か何かで、外部に流出してしまったのではないでしょうか」

 仮に、情報流出が委託業者の過失だとしても、“東武”の看板を信用してレバントで華燭の典を挙げようとしたカップルは、少なくないだろう。経済誌のホテル業界担当記者も呆れて、

「13年前、東武鉄道ではメール・マガジンの個人会員13万人の情報が流出した事件がありました。それ以降、東武鉄道は6項目に亘る“個人情報保護ポリシー”という基本方針を掲げていましたが、絵に描いた餅に過ぎなかったのかもしれません。東武鉄道は上場企業ですから、情報流出を公表しなかった理由も説明する義務があります」

 東武鉄道の釈明は、

「お問い合わせいただき、顧客情報流出の可能性を把握しました。関係者から聞き取り調査を行っており、適切に対処してまいります」(広報部)

 この危機管理意識の低さには、呆れるほかない。

「週刊新潮」2017年6月29日号 掲載
新潮社

最終更新:7/3(月) 5:58
デイリー新潮
 

メルカリ

 投稿者:管理人  投稿日:2017年 6月23日(金)00時05分0秒
  https://headlines.yahoo.co.jp/hl?a=20170622-00000362-oric-ent

メルカリ、5万4千人分の個人情報流出 公式サイトで謝罪
6/22(木) 21:08配信
オリコン

 フリマアプリ「メルカリ」のWeb版で22日、一時5万4千人分の個人情報が流出したとして、同日、運営企業が公式サイトで謝罪。現在は対応が完了していることを発表するとともに、経緯を説明した。

 サイトでは「本日、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明しており、現在は対応も完了しております」と情報流出ならびにその後の対応を報告。「お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げるとともに、経緯について下記の通りお知らせいたします」と謝罪した。

 経緯については「Web版のメルカリにおけるパフォーマンス改善のためキャッシュサーバーの切り替えを行って以降、一部のお客さまの情報について、他者から閲覧できる状態になっていたことがお客さまからの問い合わせで発覚しました」とし、「発覚後、Web版のメルカリをメンテナンス状態とし、原因の究明と問題の解消を行うとともに、経緯や対象範囲の確認を行いました」と説明。対象サービスはWeb版の「メルカリ(日本/US)」でiOSとAndroidアプリ版のユーザーは対象外となる。

 さらに、個人情報を閲覧された可能性があるユーザーは5万4180人に及ぶと発表。「名前・住所・メールアドレス・電話番号」「銀行口座、クレジットカードの下4桁と有効期限」「購入・出品履歴」「ポイント・売上金、お知らせ、やることリスト」が閲覧できる状態となっていたという。

 今後の対応については「個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡いたします」と説明した。


■情報流出と対応の時系列(公式サイトより)

・9:41 キャッシュサーバーの切り替えを実施(問題発生)
・14:41 カスタマーサポートにてお客さまからの問い合わせ(「マイページをクリックしたら他人のアカウントのページが表示された」旨)を確認し、社内へ報告
・15:05 キャッシュサーバーの切り替えを中止し、従来の設定へ戻す
・15:16 Web版のメルカリをメンテナンスモードへ切り替え
・15:38 キャッシュサーバーへのアクセスを遮断し、問題を完全解消
・15:47 Web版のメルカリメンテナンスモードを終了

最終更新:6/22(木) 22:39
オリコン
 

ぴあ

 投稿者:管理人  投稿日:2017年 4月27日(木)18時14分54秒
  https://headlines.yahoo.co.jp/hl?a=20170426-00000001-netshop-sci

ぴあ受託のECサイトでカード情報3.2万件が漏えいか、セキュリティーコードも
ネットショップ担当者フォーラム 4/26(水) 6:01配信

ぴあが運営を受託しているチケット販売サイトなどが外部から不正アクセスを受け、カード情報3万2187件などが漏えいした可能性があることがわかった。クレジットカードの不正利用も判明。ぴあが4月25日に被害を公表した。

不正アクセスを受けたのは、ジャパン・プロフェッショナル・バスケットボールリーグ「B.LEAGUE」のチケット販売サイトとファンクラブ受付サイト。3月7日から15日の間、Webサーバとデータベースサーバに第三者による不正アクセスを受けた痕跡があったという。

漏えいした可能性があるのは、個人情報(住所・氏名・電話番号・生年月日・ログイン ID・パスワード・メールアドレスの登録情報)14万7093件と、カード情報(会員名・カード会員番号・有効期限・セキュリティコード)3万2187件。

クレジットカードの不正使用は4月21日までに判明しているものだけで197件で、金額は630万円。不正使用の被害者に対して、被害の全額をぴあが負担する。

□ 「Apache Struts2」の脆弱性が原因

使用していたアプリケーションワークフレーム「Apache Struts2」の脆弱性を突かれた。外部業者が構築・運用していたサーバで被害が発生。本来の発注仕様や運用ガイドラインと異なり、委託先のデータベース上と通信ログ上に個人情報などが保持されていたことが漏えいの原因としている。

「Apache Struts2」 はWebアプリケーションを作成するためのソフトウェアフレームワーク。「Apache Struts2」を利用していたECサイトの不正アクセスの被害が2017年3月初旬から多発している。

ぴあは再発防止のため「Apache Struts2」のバージョンアップとサーバーの再構築を実施。関連するすべての現行システムと、その運用に対するガイドラインの見直し、安全点検、監視の強化も進める。

外部からの攻撃に対する防御装置「Web Application Firewall」を4月20日に実装。クレジットカード情報の非保持・非処理・非通過化と、決済代行会社による処理方式への切り替えも進めている。

クレジットカード決済の再開時期は、再発防止策が完了してから慎重に判断するとしている。

なお、被害を受けたサイトはぴあの基幹システムとは別に専用の開発体制にて構築したため、主力サービスのチケット販売サイトといった他サービスは完全に切り離して運営しているという。

□ ECのセキュリティ対策について

経済産業省主導の「クレジット取引セキュリティ対策協議会」(事務局は日本クレジット協会)は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。

カード情報の漏えいの頻度が高い非対面(EC)加盟店については原則として非保持化(保持する場合はPCI DSS準拠)を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP(決済代行会社)が提供するカード情報の非通過型(「リダイレクト(リンク)型」または「Java Scriptを使用した非通過型」)の決済システムの導入を促進するとしている。

また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。

最終更新:4/26(水) 6:01
ネットショップ担当者フォーラム
 

レンタル掲示板
/4