東京都内に拠点を置く11の企業や団体の電子商取引(EC)サイトが不正なプログラムを仕掛けられて改ざんされ、少なくとも10万件以上の顧客情報が抜き取られたとみられることが捜査関係者への取材で判明した。同様の被害は全国で相次いでおり、警視庁などは不正指令電磁的記録供用容疑なども視野に捜査している。

 捜査関係者などによると、都内で被害が確認されたのは、大手コーヒーチェーン「タリーズコーヒージャパン」(新宿区)や「全国漁業協同組合連合会(全漁連)」(中央区)など11の企業や団体が運営するインターネット通販などのECサイト。

 何者かが利用者を装い、ECサイトの注文フォームなどに不正なプログラムを発動させる文字列を入力。サイトの運営側が入力された内容を確認すると、プログラムが発動し、攻撃者側が遠隔でサイトを改ざんできる仕組みだった。

 その後、ECサイトで顧客が新規に個人情報を登録すると、それが攻撃者側に流出していたという。

 改ざん後もサイトでの買い物などは通常通りできるため、運営側が長期にわたって被害に気づかないケースも確認されている。タリーズからは2020年10月からの約3年半で顧客のクレジットカード情報など約9万件、全漁連からは21年4月からの約3年で約2万件の情報が抜き取られていたとみられる。

 他にも数万件単位で情報流出が確認されている企業もあり、被害はさらに拡大しているという。

 改ざんには、特定の国で使われる文字列が使われており、警視庁などは海外の犯罪グループによる攻撃の可能性があるとみて捜査。IPアドレス(インターネット上の住所)などを解析し、情報の流出先などの特定を進めている。

 情報セキュリティー大手「トレンドマイクロ」で企業などのアドバイザーを務める岡本勝之さんは「被害に遭ったECサイトは、遠隔操作で改ざんできる『穴』があったとみられる。即座に検知するプログラムを導入するなど、定期的にセキュリティーを更新する必要がある」と話した。【加藤昌平】

毎日新聞
2024/12/2 19:28(最終更新 12/2 21:07)
https://mainichi.jp/articles/20241202/k00/00m/040/206000c
  1. 2
    コーヒー屋に個人情報預ける場面あるか?
    豆の取り寄せを頼んで記帳したの?
  2. 3
    さすがIT後進国
  3. 4
    どんな文字列使えばこうなっちゃうの?
  4. 5
    その11社は?
  5. 6
    安定の全魚連、つうかこれはちょっと可哀想では
  6. 7
    で、どこの会社に発注したシステムなの?
  7. 8
    >>4
    ヌルポ
  8. 9
    コーヒーはヤオコーの2割引きセールの時しか買わないからセーフ
  9. 10
    ほか9社は?
    なんで隠すの?
  10. 11
    タリ~
  11. 12
    >>8
    ガッ
  12. 13
    タリーズとかチャージとかプリペイドとかやってるし今コーヒー豆が高騰してるからね 仕方ないね
  13. 14
    これ少し前10月頃にニュースになってたやつだろ?
    WEBスキミングと言って、決済ページじゃなくてTOPページにスキミングが仕込まれていて
    決済開始から行われるCMS:セキュリティ制御が無効になってるっていう攻撃
    角川とか結構な数の「自前でクレカ情報を持たない」PCI-DSSのレベルの低いサイトが
    軒並みやられてる
  14. 15
    ECサイト毎にそのサイト専用のメアド発行して利用してるけど
    メアド情報が流出してSPAMが来るようになったのが数件あるわ
  15. 16
    どこもかしこも専用アプリ作って会員登録させるから
  16. 17
    中のコード書いた下請け業者が仕込んだんだな
  17. 18
    本当に無能だねジャップは
    (´・ω・`)
  18. 19
    サイトのサーバーの中で動いてるコード書いた業者調べたら犯人わかると思うがどうなん?
  19. 20
    >IPアドレス(インターネット上の住所)などを解析し、情報の流出先などの特定を進めている。

    ここ笑うところです
  20. 21
    刺身喰いながらコーヒー飲んでる俺ヤベー
  21. 22
    魚協にどんなデータがwwww
  22. 23
    やられまくり
  23. 24
    >>1
    ったく、たりーな〜
  24. 25
    情報流出させた企業は重い処罰を与えるとかしないと駄目だろ
    そうじゃないと本腰入れて対策しないと思う
  25. 26
    >>22
    2回先生にいくら渡したとか…
  26. 27
    はい闇サイトに流されて犠牲者増えまくるぞ
  27. 28
    そっち系かww
    こいつ毛ガニ注文してやんのwwwww
    とかするのかとおもた
  28. 29
    なるほど、こういう情報が流れて強盗に入られるのか
  29. 30
    危機管理意識が
    足りず
  30. 31
    >11の企業や団体が運営するインターネット通販などのECサイト。

    はよ『など』の部分を教えてくれや
  31. 32
    韓国L○NE?
  32. 33
    >>1
    どこの企業やサイトなのか一つ一つ教えてくれよ
    対処するべきかどうかわからん
  33. 34
    >>32
    あり得るよね。
  34. 35
    ECサイトの脆弱性やバックドアはろくでもない

    暗号通貨より酷い
  35. 36
    >>34
    韓国サーバーの韓国L○NEだからね!
  36. 37
    腸活コーヒーが値下がりしない
    スーパーで140gを600円くらいで買ってたんだ
    今は80gでそれくらいの値段やぞどうなってる?
  37. 38
    トレンドマイクロごときに聞いて参考なんのか?
  38. 39
    でもネトウヨが流出して困ることないから問題ないって言ってたよ
  39. 40
    >>31
    2020年 クレジットカード 情報漏洩とかでググるとプレス出してるから何件か分かるよ
    みんなタリーズと同じ時期からやられてるから
  40. 41
    イット イズ イット
  41. 42
    >>1
    もう漏れるのは当たり前なんだから個人情報なんて求めるべきではないデショ
  42. 43
    見つかっただけでコレだろ?それも3年間放置って
    4年前からとしても以降登録したサイトは全滅くらいに考えた方が良いかもな
  43. 44
    ECサイトとか1回買ってそれっきりって(サイトとか確認しない)人も多いやろし
    ちゃんと公表するべきやと思うんやが
    利用者が一番の被害者やろ
  44. 45
    マイナンバーカード持ってる人は個人情報の漏洩に同意してるんだから被害なんてほとんどないんだろな。
  45. 46
    >>38
    昔個人情報流出させたことあるから経験談やろ
  46. 47
    >>32
    共通するプログラムが使えるってオンライン決済だろ
    LINEペイは終了するってこのことか
  47. 48
    所詮は人間か作ってるものだから作ってる人に悪意があれば簡単に犯罪できるよな
    昔ならパチンコスロット系の機種にバグを残して荒稼ぎしたり
  48. 49
    >>19
    セキュリティの脆弱性をついた攻撃だから
    なんらかのコードを仕込んだというわけではない
  49. 50
    >>8
    ガッ
  50. 51
    >>15
    俺はDellで専用アドレス作ってPC注文した翌日にスパム来るようになった
    Dellに事情を説明したらアホ扱いされたので注文キャンセルしたわ
  51. 52
    開発もだけど、運用もひどい
  52. 53
    >>4
    インジェクション・アタック
    古典的なやつ
  53. 54
    システムで抜かれるし
    フィッシングメールで騙されるやついるし
    迷惑フィッシングメール多すぎと思ったけど最近ぱったり止まったな認承ドメイン判定で元栓閉めたか
  54. 55
    その11社に共通してる事書けよ
  55. 56
    >>1
    同じところに作らせた?そこを発表しないと
    さらに増える恐れがある
  56. 57
    闇バイトが来るぞ
    逃げるか戦の準備をしろ
  57. 58
    経費削減しようと思って自社でシステムを構築するとセキュリティ穴だらけ予期せぬ不具合も起こり高い代償を払うよ
    業務基幹システムの構築運用は金がかかってもプロに任せたほうがいい
  58. 59
    伊藤園ざまー
  59. 60

    NHK党党首の立花孝志氏は29日、死亡した元局長が公用パソコン内に残した個人情報だとする文書などの画像をSNS上で公開しました。
     
    入手ルートに怪しさしかないのに、兵庫県民はこんな情報に釣られるんだ(笑)
    ヤバすぎ(笑)

    ちなみに兵庫県議会他から被害届出まくってるから開示請求されまくってるけど
    「拡散に協力したが捏造情報だと知りませんでした、拡散は頼まれたからやっただけ」
    の言い逃れは裁判では通じないからな(笑)
  60. 61
    >>1
    >何者かが利用者を装い、ECサイトの注文フォームなどに不正なプログラムを発動させる文字列を入力。
    >サイトの運営側が入力された内容を確認すると、プログラムが発動し、攻撃者側が遠隔でサイトを改ざんできる仕組み
    クロスサイトスクリプティングとは古典的やな
    管理端末側だとセキュリティ甘い場合あるからそういう業務的な弱点を突いた方法か
  61. 62
    タリーズコーヒーって量少ないよな足りーずコーヒーなんつってなw
  62. 63
    どこぞの国の文字って英語以外ってことじゃん
    中韓露のどれだ
  63. 64
    >>58
    プロって富士通とかのこと?
  64. 65
    マカフィーとか入れてないからそうなる
  65. 66
    11社はどこやねん
    タリーズだけじゃわからんだろ
  66. 67
    >>31
    あん?

    充分タリ~は~
  67. 68
    セキュリティパッチしないでほったらかしたからだろ。
    PHPとかボロボロやん。
  68. 69
    企業からするともうみんなで漏らせば怖くないんだろう。
  69. 70
    どこが制作請け負ってるか公表したら?
  70. 71
    こういう時に名前が出る企業と出ない企業って何が違うの?
  71. 72
    闇指示役「この国のヌルい対応が、俺達を成長させてくれる。」
  72. 73
    ウイルスバスター()
  73. 74
    全部、LINE経由だったら笑うな
  74. 75
    入力データの無害化なんて、当たり前のはずなのに
  75. 76
    先進国ニッポンw
  76. 77
    タリーズは不味くて飲めない
  77. 78
    >>41
    進次郎乙
  78. 79
    >>77
    あの泥っぽさを缶コーヒーでまで再現する伊藤園はすごい
  79. 80
    ポイ活か知らんけど
    どうでも良いようなもんまで個人情報渡し過ぎだろ
  80. 81
    >>28
  81. 82
    某ネットショップはずっと安いけどそこで買うと迷惑メールが途端に山ほど来るので使うのやめたなぁ…大体はフィルターに引っ掛かるけど
    親会社を何度も変えてまだやってる
  82. 83
    などじゃなくて11社全部列挙せんかい
  83. 84
    >>2
    ECサイトって書いてあるべや
    通販で住所氏名電話番号記入するのはデフォだんべ
  84. 85
    >>83
    詐欺師「リストが手に入りにくくなるので駄目です」
  85. 86
    情報盗まれた企業にも罰則与えろよ
    法律が時代遅れすぎて呆れるわ
  86. 87
    タリーズはタバコ吸える店多いから許す
    喫茶店は昔からタバコ吸いに行くところや
  87. 88
    法人罰金1億円摘要頼む
  88. 89
    >>55
    ECサイト=ショッピングサイト
    顧客関連で共通するのは決済方法
    現在オンライン決済はクレジットとスマホ決済が二大巨頭
  89. 90
    >>4
    password
    1234567890
  90. 91
    >>83
    関連記事とか見ればペイメントアプリ改ざんされたところがいくつか載ってる
    毎日新聞が言う11社かどうか知らんけど
    https://www.itmedia.co.jp/news/articles/2410/03/news164.html
  91. 92
    もうあちこちで個人情報漏れすぎて謝るだけでお詫びもくれなくなったな
  92. 93
    カスペルスキー入れとけ
    ロシア製だがこんなのは簡単に検知するし決済時は安全な別ウインドウで決済も出来る。
    PCバスターみたいな事も無いし、やっぱ最強だわ
  93. 94
    >>19
    日本って多重請負が当たり前だから実際の実労働者の原籍会社なんてわからないのよ
    闇バイトはゼネコンの責任回避の仕組みをそのまま当てはめただけともいえる
    ITもITゼネコンやデジタル土方と言われるくらい似ている
  94. 95
    >>51
    アマゾンでそれやったらなぜか日大から科研費によるアンケートが届いた
    住所細工してたんで間違いない
    どこでも個人情報横流ししてるんだな
  95. 96
    >>1
    今年超開示ありすぎだろ
  96. 97
    >>16
    客も何故か専用アプリ欲しがるんだよね
    弊社アプリ無いのでWEBサイトからの通販なんだけど何故アプリ無いのかて凄く言われる
  97. 98
    個人情報漏れたら闇バイトに襲われるからなー
    一般人でも自宅のセキュリティ対策やっておかないと
  98. 99
    >>74
    Twitter cloud もアプリは全部
  99. 100
    >>99
    現実を教えるのは酷だけど 現状アプリにセキュリティはない、と思った方が良いと思える
  100. 101
    いつか美容整形の顧客情報が流出して大変な騒ぎになると思う
  101. 102
    お漏らし国家日本をなめんなよ
  102. 103
    11社全部出せやw
  103. 104
    成らなくてもいい会員にポイント欲しさに入る馬鹿ばっか
    うちの嫁もだけど
  104. 105
    >>77
    えー、俺はスタバの100倍好きだわ
  105. 106
    これらの情報は反社AIに学習され住所、世帯収入や総資産を紐づけられリスト化され闇バイトさん達のお手元に届きます☺
  106. 107
    流出での被害は確認されていないとか
    免罪符みたいに言うだけだもん
    無くなるはずないよ
    で闇バイトの家庭訪問が捗る
  107. 108
    >>100
    常に新しい端末使ってるならまだしも皆そうでないでしょ?
    ハードウェアも怪しい
    脆弱性が公開されてメーカーがアップデート作るまでの間ノーガードになる
    数年経てばアップデートがないこともある
    スマホの脆弱性はあまりはっきりと公開されないしこっそり勝手にアップデートもある
    このこっそり勝手にアップデートも本物か偽者かも分からない
  108. 109
    >>100
    常に新しい端末使ってるならまだしも皆そうでないでしょ?
    ハードウェアも怪しい
    脆弱性が公開されてメーカーがアップデート作るまでの間ノーガードになる
    数年経てばアップデートがないこともある
    スマホの脆弱性はあまりはっきりと公開されないしこっそり勝手にアップデートもある
    このこっそり勝手にアップデートも本物か偽者かも分からない
  109. 110
    サニタイズしてないとかいつの時代だよwww
  110. 111
    バーコード決済の方が安全みたいだな
  111. 112
    >>64
    欠陥システムのプロを召喚しないでw
  112. 113
    >全国漁業協同組合連合会

    あー、俺この間ここの会員登録したわ
  113. 114
    忘れた頃に闇バイトがやってくるぞ
    震えて待て
  114. 115
    全社載せろよ
    まじで
  115. 116
    タリーズの福袋買う
    幸い店頭購入のみだし電子マネーみたいのも使ってない
    そもそも普段行かない
    行動範囲にタリーズがない
    スタバだらけ
  116. 117
    キタチョンかロスケのしわざやな
  117. 118
    タリーズばかり矢面に立たされて可哀想w
    全漁連もだが
  118. 119
    漏洩しても、サーセンで済むからな
  119. 120
    タリーズなんかに登録してるガイジwwwwwwwwwwwwwwwwww

    マウントレーニアに登録しとったわ…
  120. 121
    トレンドマイクロの人に聞いても糞の役にも立たんだろ
  121. 122
    とった魚の情報だだもれ
  122. 123
    クレジットカードは怖いね
    振込手数料数回無料の銀行から入金してる
  123. 124
    カフィショプで仕事してる振り
      ↓
    わたしってイケてる
      ↓
    情報流出
  124. 125
    >>57
    レーザーサーベルで対抗デス!
  125. 126
    東朝鮮のIT w
  126. 127
    技術者を蔑み業界まるごと奴隷にしてきたクズキムチジョーコーの愚行の結果
  127. 128
    ノートン先生がいてくれたら
  128. 129
    ショバ代ケチろうと自前でECサイトやろうとするとこうなる
  129. 130
    >>2
    カップに名前書いてもらって喜んでる連中だって居るじゃん
    持ち物に名前書く小学生かよ
  130. 131
    >>126
    極東獣民令和国
  131. 132
    わかっただけマシかもね
  132. 133
    特定の国で使われる文字列ワロタ
    つか、なんでこんなことになるんだよw
  133. 134
    任意コード実行
  134. 135
    >>110
    ほんとだわ
    なぜ今時こんな事件が起こるのか
    それとも何か高度化してるんかな
  135. 136
    これカード情報記入するのむっちゃやばいだろ
    もうヨドかアマでしか買い物できねえわ
  136. 137
    >>38
    サイバーセキュリティで儲かってる会社ってあんまりないんだよ。大切なんだけどね。
    セコムがあっても警察は必要だし空き巣とか強盗とか無くなってないし
  137. 138
    自分はどうやら某菓子メーカー直販の不正アクセスでやられたっぽい
    なんでクレカ情報残すんだよ
    一回取引終われば削除してほしい
  138. 139
    ルフィの名寄せがまた捗ってしまうな
    あそこが一番データ持ってるだろw
  139. 140
    GeoIPブロックできるルーターを再販すればいいのに。世の中V6推しだがIPv4しか使えないほうがセキュリティ高いぞ。
  140. 141
    「直販サイトは情報流出を防ぐためにこういう風に作れ」みたいな決まった方法は
    IT業界にはないの?
  141. 142
    >>141
    SQLインジェクションはパラメータ化クエリで防ぐ

    しかし最近はインジェクションでデータベースの条件をごまかしてログインしたり他の会員のデータを見たりするのではなく、
    サイトを改竄して入力した情報を攻撃者のサイトに送らせるようにする攻撃が主流
  142. 143
    企業がよく個人情報を流出させてるが
    逮捕しろよ
    何の為の個人情報保護法なんだよ
    流出しました~!…で終わりにしてんなクズが
    流出した全員に30万ぐらい払えよ
  143. 144
    信じられねぇ

    警視庁なんて採用試験の難易度低くて
    小学校レベルでなれるから
    他の公務員試験すべったゴミがいきつく
    掃き溜めなのに
     
    自民党の為にありとあらゆる悪事させるために
    学歴は低いが頭脳はキッレキレって自民党が褒めてるの本気にしてる馬鹿しかいねぇとか書かれてた
     
    お前らを傷つけないように
    数的処理とか、判断推理とかいう
    試験名になってるだけで、小学生の国語と算数出題されてるのが公務員試験の教養試験だけど
    警視庁なんて、それ解けないやつがなるんだよwとか書かれてた

    これ、嫉妬だよな???
    みんな、どう思う?
     
    俺らの中には官僚もいるじゃん
    採用試験の問題が全然違うけど、、 (白目)

    一日署長とかで制服のイメージをアイドルと紐付けさせたり印象良くするの頑張ってるし

    ドラマでも、あり得ない設定を沢山見せた

    マスコミも警察発表通りに何でも書くから、俺らって天才じゃん?
  144. 145
    この前注文をFAXで送っていたうちの爺さんがもしかして大勝利?
  145. 146
    トレンドマイクロ!グッジョブ!ナイス自作自演!!
  146. 147
    >改ざん後もサイトでの買い物などは通常通りできるため運営側が長期にわたって被害に気づかないケースも確認されている
    >タリーズからは2020年10月からの約3年半で顧客のクレジットカード情報など約9万件

    3年半も気が付かないとかヤバすぎ
  147. 148
    どうして会社名が出ない?
    これこそ知る権利だろうが
  148. 149
    紅茶のカレルチャペック数年前に一回だけ利用したのが今年になって漏洩が発覚したと知らせが来た
    セキュリティコードもパスワードも住所もなんもかんも全部漏れてた
    わかってて半年間利用者に秘密にしてた
    今でもSNSじゃ知らん顔して福袋の宣伝してる
  149. 150
    ずーっと言ってるけど 購入から仕分け拠点配送までワンタイムコードでいいじゃないかと思う 
    簡単な個人情報保護
    名前と電話番号記載不要
    不在時は不在票入れれば 本人がコードアクセスで
    宅配便と直電不要
  150. 151
    >>150
    一括管理を省庁が直受けでやれば個人情報保護できる 下請け出すから個人情報流出する
  151. 152
    >>145
    そしてその店がシュレッダーにかけず一般ゴミに出してry
    ちなみにうちの地元にあるエログッズ店の実話w
  152. 153
    マスゴミの報道しない自由ですな
    これで日本は報道の自由が無いって事らしい。