【社会】中国国内から「SQLインジェクション」…カード番号など流出した可能性 - サウンドハウス
音響機器や楽器などを販売するサウンドハウス(千葉県成田市)は
4月6日までに、ECサイトに不正アクセスがあり、顧客の個人情報が
流出した可能性があると明らかにした。クレジットカード番号が
流出した可能性もあるという。
2007年1月1日以降に新規登録した顧客の一部の氏名、
クレジットカード情報(会社名、カード番号、有効期限、カード名義)、
性別、生年月日、サイトログイン用メールアドレスとパスワードが
流出した可能性があるとしている。
4月3日までにカード会社から「サウンドハウスのECサイトで購入した顧客の
カード番号が流出している可能性がある」との指摘を受け、
セキュリティ企業に依頼して調査したところ、3月11日から22日にかけ、
中国国内の複数のIPアドレスからSQLインジェクション攻撃が
仕掛けられていたことが分かった。
第三者によるカードの不正使用が発覚した場合も、ユーザーの負担は
一切ないとしている。JCBとオリコも、同様の対応を発表した。
サウンドハウスは、同社データベースから全てのカード情報を削除したほか、
不正侵入監視機器の設置、ファイアウォールの強化、セキュリティ管理・
対策委員会の設置といった対策を実施した。
同じ時期には大規模なSQLインジェクション攻撃が起きており、
トレンドマイクロのWebサイトが改ざんされた被害も、
同攻撃によるものと見られる。
*+*+ ITmedia 2008/04/07[**:**] +*+*
http://www.itmedia.co.jp/news/articles/0804/07/news006.html
2 :
名無しさん@八周年:2008/04/07(月) 08:43:08 ID:IAOJ7p7mO
また支那か
サウンドハウスってあのサウンドハウスじゃないか。
ギターの弦を買っただけで流出とかマジ辛い
5 :
名無しさん@八周年:2008/04/07(月) 08:47:55 ID:3HEPqWck0
独自のショッピングサイトだったのかな?
それとも規制のECサイト用CMSに対してSQLインジェクションの攻撃を受けたんだろうか?
6 :
名無しさん@八周年:2008/04/07(月) 08:48:09 ID:R2DzPo7MO
いまだに外向けのwebサーバーから直接DBにアクセスしてるサイトあるのか
7 :
名無しさん@八周年:2008/04/07(月) 08:50:56 ID:HmE7DVDoO
アホだな
8 :
名無しさん@八周年:2008/04/07(月) 08:51:17 ID:VT3aW8Xn0
昨日の夜中にメール来ててビックリだったよ・・
怖いので速攻でカード止めたw
9 :
名無しさん@八周年:2008/04/07(月) 08:58:42 ID:D0HHUYwG0
これさ、どうせどっかに丸投げで作ってんだろ?
同じとこが作ったサイトもやべーんじゃねーの?
10 :
名無しさん@八周年:2008/04/07(月) 09:06:05 ID:thRis8jI0
今見たらこっから流出しましたよーんってメールきたぞコラ
危なく利用するところだった。
SQLインジェクションなら作ったやつも攻撃したやつと同じぐらい責任を問われてしかるべき。
13 :
名無しさん@八周年:2008/04/07(月) 09:09:18 ID:UkEtrKaN0
> 流出した可能性もあるという。
既に、ゲームサイトでの不法使用が報告されまくってるのに、"可能性"?
犯人はすでに換金しててますよ〜
14 :
名無しさん@八周年:2008/04/07(月) 09:09:36 ID:uq6jzPAIO
不正アクセスっていうけどさ、SQLインジェクション対策なんて基礎中の基礎じゃん
小中学生でも出来るような攻撃だぜ?
それの対応してなかったシステム側のミスのほうが大きいと思うけどな
もうすぐ 4.26(土)長野 4.26(土)長野 4.26(土)長野 五輪聖火が長野に来る
中国の北京五輪組織委員会が、長野市で4月26日に行われる聖火のリレーや式典を直接妨害する行為だけでなく、中国政府を批判するメッセージを書いたプラカード類を掲げるなどの活動も排除するよう要求している。
いいかお前ら!長野に聖火が来るが沿道でダライラマの肖像やチベット国旗を掲げるなよ。絶対にやめろよ!
by 中国政府
聖火リレーの時チベットの旗を振ろう!! まとめサイト
http://www8.atwiki.jp/winwin/ 胡錦濤国家主席来日!チベット祭りで迎えよう!
・平成20年4月10日(木)、ダライ・ラマ法王来日
・平成20年4月17日(木)〜19日(土)、楊潔褫外相来日
・平成20年4月26日(土)8時〜13時、五輪聖火リレーin長野(善光寺→若里公園)
※4月25日(金)夕方、聖火東京着
・平成20年5月6日(火)〜11日(日)、胡錦濤国家主席来日、東京、奈良 ←予定
・平成20年7月7日(月)〜9日(水)、洞爺湖サミット
このOFFの概要は、
* 日本中を雪山獅子旗(チベットの旗)だらけにする
16 :
名無しさん@八周年:2008/04/07(月) 09:13:10 ID:ykq/UPfP0
逝かれました、約7万円抜かれちゃいました、本件でのリアル被害者ですorz
17 :
名無しさん@八周年:2008/04/07(月) 09:15:46 ID:Azhu6/zv0
PHP+データベースじゃなく、全部Perlとかでシステム構築すればいいのに
エンジニアは楽したいだけなんだよな
>>16 お気の毒なことです。
あなたのミスじゃないのでお金は保険から出ます。
外出先でのスキミングじゃなくて良かったね。
あれだとなかなか認めてもらえない事があるらしいから。
またチャンコロの犯罪か。
20 :
名無しさん@八周年:2008/04/07(月) 09:22:06 ID:TgnayZJA0
97,500件の生きたすぐ買い物に使えるカード情報が流出wwwwww
おいおい、また中国人のGDPと中国の外貨準備高が上がりましたよ
これはもう中国のサイバーテロですよorz
21 :
名無しさん@八周年:2008/04/07(月) 09:23:41 ID:ugUcmU5w0
シナ畜は嫌いだがSQLインジェクションなんて、どこからとか言う前に自前の問題だろ
このスレ、まだやってたのか。
と思ったら、今日の記事なのか・・・
ITmedia取り扱うの遅いな。
24 :
名無しさん@八周年:2008/04/07(月) 09:34:43 ID:TgnayZJA0
無しさん@八周年[sage] 投稿日:2008/04/04(金) 20:20:49 ID:A2zo5blM0
291 名前:名無しさん@ご利用は計画的に[] 投稿日:2008/04/04(金) 11:31:48
カード会社: スルガVISAデビッド
カード会社からの連絡:なし
連絡方法:
利用停止:こちらから連絡して停止
カード再発行: こちらから連絡して再発行
再発行手数料:有料→無料
不正使用被害:あり (3/19日に8件身に覚えのない使用履歴)
カード会社の不正使用に対する対応:
3/19 7件の不正使用 → デビッド停止 → 調査依頼
4/03 2chのスレ見て連絡、調査進展なし、再発行は有料といわれる
4/04 朝電話、再発行は無料で対応と方針変更
コメント:
サウンドハウスからなんの連絡もありません
2chのスレで事件を知りました
それまでは、まったく詳細不明の請求に悩んでいました。
2chにスレが立ったおかげで、周知され、スルガ銀行はようやく対処を始めてくれました。
( ^ω^) WEBアプリは危険がいっぱいお
>>17 問題はどんなケースでも「道具」ではなく「使う側」にある。
PerlだろうがPHPだろうが、作り手がしっかりしていれば問題ないさ。
>>23 お疲れ様です。
27 :
名無しさん@八周年:2008/04/07(月) 09:42:38 ID:Zfljjpri0
クレカを扱っている会社がSQLインジェクション対策をしていなかった方が異常だろ
28 :
名無しさん@八周年:2008/04/07(月) 09:43:19 ID:lLaICbRU0
カード会社により取り組みや扱いが違いすぎるな
すでに、カード会社のセキュリティレベルアピール合戦に・・
29 :
名無しさん@八周年:2008/04/07(月) 09:45:46 ID:D0HHUYwG0
イーバンクは確実にユーザー減るだろうね
まぁ、減っても痛くも痒くもないくらいのユーザー数だろうけど。
30 :
名無しさん@八周年:2008/04/07(月) 09:46:59 ID:u6VXA3KHO
PHP(笑)
ウチもSQLインジェクションが心配だったんで、調査したが
既に対策済みだった。漏れた人は不幸としか言いようがない。
懐かしいな>SQLインジェクション
対策は常識以前だよ今時。
33 :
名無しさん@八周年:2008/04/07(月) 09:50:58 ID:PZ3tyoZqO
ここでまさに買い物したんだが…orz
まだ現金払いにしててよかった。と思うべきかorz
どっちにしろさらっとメールしか連絡&お詫びきてね〜
34 :
名無しさん@八周年:2008/04/07(月) 09:52:18 ID:8Djo0X9J0
日本国内では暴力犯罪
日本国外ではネット犯罪
辺境では虐殺
どーしよーもねー、犯罪虐殺国家中国。
カード会社に電話すると、「サウンドハウスの件ですね」で通じるようになったのはいいけど
あれだ、お前らの個人情報は世界中に漏れまくってるってことを忘れるな!
例えば、会社面接にいっても
「あっ、サウンドハウスの件の人ね?」
で通じるようになる
入社しても、上司からは、
「サウンド、あれやっとけよ!」
ってあだ名で呼ばれる
休憩室で同僚たちが
「オトヤの奴、マジ使えねーな」
って噂してて、
オトヤって誰なんだろ?って思っているのは、お前一人だけなんだぞ
36 :
名無しさん@八周年:2008/04/07(月) 10:03:55 ID:lbPr0nsH0
またニートウヨどもが
中国を叩いて憂さ晴らししているスレか
37 :
名無しさん@八周年:2008/04/07(月) 10:09:01 ID:jBpeWgkR0
またニートサヨどもが
中国を擁護して憂さ晴らししているスレか
38 :
名無しさん@八周年:2008/04/07(月) 10:09:53 ID:JKGIYtDZO
39 :
名無しさん@八周年:2008/04/07(月) 10:10:02 ID:NfY6JdV10
3年程前に使ったけど、メールすら来てないよ…不安
40 :
名無しさん@八周年:2008/04/07(月) 10:10:18 ID:1DQ9Qn1TO
SELECT
FROM
WHERE
GROUP BY
HAVING
ORDER BY
SELECT * FROM users WHERE name = '' OR 't' = 't';
>>39 いつ何に使ったか全く記憶がないのにメールが来た俺は別の意味で不安だわw
43 :
名無しさん@八周年:2008/04/07(月) 10:37:02 ID:zGySrcVa0
明日になったら、音屋の前の国道は街宣右翼に占拠され
"中国製品を売るなー" とかやられるかもね
いや、B企業じ同胞なのでやられないかw
中国とのネット接続禁止で良いよ
SQLインジェクションぐらい対策しとけや…
46 :
名無しさん@八周年:2008/04/07(月) 10:42:43 ID:5WQk3ZWB0
SQLインジェクションって
クレジット番号:12345
ID =12345
SELECT( ID )
こうやって、IDを入力するところを
クレジット番号:I am admin
ID = I am admin
SELECT( I am admin )
このように無茶苦茶な命令を通してしまう技術だったっけ?
>>43 オマエが街宣車の前で身を挺して守ってやればいいんじゃね?
どこかの国みたいに戦車で轢き殺される事はないからさ
再発行しといたほうがいいのかねぇ
今さっきカード会社に連絡したよ。
無料で再発行してくれることになったけど、流出元を聞かれなかった。
これなら落としても、情報流出したって言えば再発行タダなのか?
50 :
名無しさん@八周年:2008/04/07(月) 10:55:05 ID:g5EFK7R10
該当IDの住所を表示します、あなたのIDは?
: アホ または 1=1
OK、SIR!、1=1は正なので、全部の住所を表示します!
51 :
名無しさん@八周年:2008/04/07(月) 10:55:31 ID:tuAReXegO
;とかでSQLぶった切りするやつでしょ?
IDのところに「admin’ & ’;’」とか入れてパスワードいらなくできるやつ
まだ対策取ってないとこあったのか
52 :
名無しさん@八周年:2008/04/07(月) 10:56:35 ID:yJcY5jRo0
カスタネットの弦を買っただけで流出とかマジ辛い
XSSだのSQLインジェクションだの、ちゃんとした基礎を持った香具師が設計すれば起きないだろ、常考。
54 :
名無しさん@八周年:2008/04/07(月) 10:57:05 ID:ejWsikMB0
55 :
名無しさん@八周年:2008/04/07(月) 10:57:06 ID:3HEPqWck0
56 :
名無しさん@八周年:2008/04/07(月) 10:57:29 ID:rvZ/0C4f0
>>46 admin のパスワードを自分のアカウントから乗っ取るのが基本です。
つまり、犯人は管理者パスワードを乗っ取って、外部からDB管理者権限でデータを引き出した。
DB操作のプログラム上で、エスケープを明示化しとけば、こんな幼稚な手には引っかからない。
57 :
名無しさん@八周年:2008/04/07(月) 10:57:44 ID:EnMcPwGu0
カード使わない俺勝ち組
58 :
名無しさん@八周年:2008/04/07(月) 10:59:54 ID:645lqYG/0
ECサイトやら何件か構築に関わったら、怖くてネットで買い物ができなくなりました><
59 :
名無しさん@八周年:2008/04/07(月) 11:00:39 ID:Fi+FqdRI0
これはSQLアプリケーションの側の問題なので、
管理者がいくら対策立てようと思っても
自分でSQLアプリを書ける奴でない限り無理と言うもの。
通を気取って安易にSQLとか使わないのが一番いいのだが。
60 :
名無しさん@八周年:2008/04/07(月) 11:01:44 ID:ejWsikMB0
っていうか、文字列と変数の組み合わせでSQL組み立てようとするなよなw
>>1 をいをいをいこないだ利用したっぺよ
つうか古典的だがまだまだイケるな<SQLインジェクション
62 :
名無しさん@八周年:2008/04/07(月) 11:05:53 ID:Fi+FqdRI0
ネットワークエンジニアとやらが、十分な検証もしないままやるからこうなる。
ネットワークエンジニアは、ただ組めるだけでなく
セキュリティのスペシャリストでなければならない。
自分で、知られている・知られてないアタックを仕掛けて
採用しようとしているものが耐えられるかどうか検証しないとならない。
それもできない奴がネットワークなど組むからこうなる。
誰にも知られてないアタックを考えられる奴じゃないとダメだ。
>>55 カード会社は、俺のカード情報がサウンドハウスから漏れたって知ってたってこと?
サウンドハウス利用暦が残ってるはずだからそうかもね。
それならこっちから連絡する前に連絡してくれよカード会社。
64 :
名無しさん@八周年:2008/04/07(月) 11:07:36 ID:3HEPqWck0
66 :
名無しさん@八周年:2008/04/07(月) 11:07:53 ID:NOJ6VDrJ0
サウンドハウスって、中国製の激安ピアノも売ってるよね。一回弾きに行ったことが
あるけど、もう筆舌に尽くしがたいほどボロだった。あんなもん安くても売るんじゃねー。
67 :
名無しさん@八周年:2008/04/07(月) 11:09:36 ID:K+BfKaTo0
>>63 カード会社によっては対象者にお知らせ流して再発行の案内してるとこもある
68 :
名無しさん@八周年:2008/04/07(月) 11:11:39 ID:xdI7hHE7O
自分たちで攻撃して逮捕
69 :
名無しさん@八周年:2008/04/07(月) 11:11:47 ID:5RY9DLkn0
SQLを使わない
70 :
名無しさん@八周年:2008/04/07(月) 11:17:40 ID:NfY6JdV10
楽天から買った人たちも流出してる?
>>64 >>67 俺はあんまりカード会社に大事にされてないんだなw
まぁ利用額なんかでもカード会社にとってはカスだから仕方ないか。
>>62 「SE」と呼ばれる人間なら、その辺のことをすべてわきまえてないといけないんだけどな。
まあまともな神経してる人間なら、公開型DBで個人情報なんて扱わないさ。
dot com dot com dot com dot dot dot dot com
74 :
名無しさん@八周年:2008/04/07(月) 11:25:10 ID:YmuiSN6e0
SQLインジェクション残したままプログラムって馬鹿が作ったのか?
馬鹿が作ったか企業が金か納期をケチりまくったのどっちかだろwww
楽天でも被害にあって
今回もサウンドハウスでやられました。
リボ天井張り付きため実質被害はありませんが
良く考えたら流出前から俺\(^o^)/オワテタ
>>71 どうせオリコなんだろ?
既にリストは把握してるから、今回安心できる会社ではあるが、
顧客対応が問題になるよね
他で不正利用されたときに
77 :
名無しさん@八周年:2008/04/07(月) 11:28:41 ID:zoyh0rMg0
SE:「いえこのサイトはまだβで導入試験中だったのです」
>>62 >>72 いまどきのSEは
「コミュニケーション能力(笑)」
とやらだけで採用されるからな
システム構築能力とかITリテラシーとか関係ないの
むしろそんなの知らなくて留年してたりして
「人生の引き出し(笑)」を持ってて酒の席で
笑わせられるやつが重宝されるからな
あきらめろ(笑)
>>75 リボは貧乏人は絶対に使ちゃいけないね
あれはサラ金よりタチが悪い
中山エミリっていったけ、あのCM以来、あいつ嫌いになった
これから生かさず・殺さずの10年地獄が続くとかんがえると…
一応俺んとこにもサウンドハウスから
流出しますたメールが到着しました。
俺は07年1月1日以前に音屋に登録したかどうか
あいまいなんだけど、
カード会社のネットサイトで確認すると今のところ
身に覚えのない使用歴はないっぽい。
こういう場合でも一応カードって再発行したほうがいいの?
それとも一度サウンドハウスに電話して自分の情報が流出してるのか
確認したほうがいい?
それともサウンドハウスは無視して
直接カード会社に連絡して、事情話して再発行してもらったほうがいい?
んでさ、再発行にともなうデメリットってなにかある?
ポイントが消えちゃうとかある?
カード番号と暗証番号と有効期限が切り替わるだけ?
>>79 リボを使いやすいように必死に整備してる時点で
「カード会社にとって」おいしい支払い方法なんだと考えんとねw
>>74 SQLインジェクションもそうだけど、パスワード流出・カード番号流出ってまず平文のまま保管してたって
ことだよね? それがすごい。
DBのアカウント管理もむちゃくちゃだったんだろうな。ちゃんと直したかな。
84 :
名無しさん@八周年:2008/04/07(月) 11:38:17 ID:WNjm0TDL0
>>72 SEもPGも素人に毛が生えた程度の連中が結構いるよ。
どんなお粗末なプログラムでも、動きさえすればいいわけだから。
外観だけ立派な欠陥住宅みたいなもんだよ。
85 :
名無しさん@八周年:2008/04/07(月) 11:39:27 ID:ONV03KKp0
>>56 addslashesだけでエスケープしたと勘違いしてる管理者多いんだよな。
キミのところは大丈夫?
unicode対策もきちんとしてる?
86 :
名無しさん@八周年:2008/04/07(月) 11:40:07 ID:ejWsikMB0
>>79 最近はどのクレ会社も簡単にリボ変更できる仕掛け入れまくりで、
支払い明細と一緒に送られるチラシにも
「リボ変更が便利でお得」みたいなフレーズが踊ってるからな。
さらに、一回でも入金額不足だと勝手にリボ変更する、なんて
規約改正してるし。
何がお得なんだよ、お得なのはお前らだけだろと小一時間問い詰めたいところだよな。
でも、クレ初心者は引っかかるんだろうな。
2008年4月7日
お客様各位
平素は格別のご愛顧を賜り厚く御礼を申し上げます。
この度、弊社が運営するインターネットショッピングサイトの顧客データに外部から
の不正アクセスがあり、お預かりしておりましたお客様情報の一部が流出した可能性
が極めて高いことが、判明いたしました。
誠に遺憾ながら、お客様には多大なご迷惑、ご心配をおかけすることに至りましたこ
と、深くお詫び申し上げます。
記
1. 概要
弊社が運営するインターネットショッピングサイトにおいて、過去に購入されたお客
様情報の一部が流出しているのではとのクレジットカード会社からの指摘を受け、セ
キュリティ対策を専門とする第三者機関に調査を依頼したところ、外部からの不正ア
クセスによりカード情報を含む個人情報が流出した可能性が高いとの報告がありまし
た。流出の経路としましては、中国からのアクセスが確認されております。これに基
づき、直ちに警察当局に被害届けを提出、経済産業省指定機関へ届出をすると共に、
クレジットカード会社と連携を取りながら対策を講じております。
2. 流出した情報について
2007年1月1日〜2008年3月22日までに新規会員登録を行ったお客様のデータ、総数
122,884件の内、最大97,500件まで下記のデータが流出した可能性があります(内
カード情報保有データ27,743件)。
・お名前 ・フリガナ ・性別 ・生年月日
・ログイン用メールアドレス ・ログイン用パスワード
・クレジットカード情報 (ご名義 /カード番号 /有効期限)
注:クレジットカードのパスワードにつきましては、弊社ではデータを保持していな
い為、流出の危険はありません。また、ご住所、お電話番号に関しては、調査の結
果、流出の形跡はござ
いませんでした。
88 :
名無しさん@八周年:2008/04/07(月) 11:40:56 ID:zoyh0rMg0
セキュリティ、品質 < 派遣確保、下請け確保
これが日本のIT
人売りだらけでまともなものは作れませんから
3. 現在の対応状況
セキュリティ対策を専門とする第三者機関からの提案に基づき、以下を実行しまし
た。
・WEBシステム構成の再設計 ・侵入経路を遮断する不正侵入監視機器の設置
・セキュリティ管理対策委員会を設置 ・24時間体制の不正アクセス監視
・ファイヤーウォールのアップグレード ・不正プログラムの除去
・データベースからカード情報を削除
4. お客様へのお願い
サウンドハウスのログインパスワードにつきましては、ログイン時に必ずリセットす
るような仕組みに変更しておりますので、次回ログイン時に再設定をお願いします。
その際、クレジットカード会社で使用しているログインパスワードとは異なるパス
ワードを選択してくださいますようお願い致します。尚、クレジットカードの登録を
されたお客様で、上記流出の対象となる場合は、お手数でもクレジットカード裏面に
記載のある窓口へ連絡を取っていただき、カード会社の指示に従い、ご対応いただく
ようお願い致します。万が一、お客さまのカード情報が第三者に不正利用され被害が
発生した場合には、お客さまのご負担は一切ございませんので、ご安心いただきます
ようお願い申し上げます。
お客様には、多大なご心配とご迷惑をおかけしたことにつきまして、深くお詫び申し
上げます。今後ともお客様に安心してご利用いただけるサービスをお届けできるよ
う、全力をあげて取り組む所存でございます。
株式会社サウンドハウス
代表取締役社長 中 島 尚 彦
もうおまえらが代わりにシステム構築してくれよ
91 :
名無しさん@八周年:2008/04/07(月) 11:41:41 ID:ZPa+M/5R0
リベラル派(笑)が大好きな中国60年の輝かしい歴史!
-----------------------------------------------------------------
1949年 東トルキスタン侵略、占領(ウイグル大虐殺)、民族浄化継続中
1950年 大躍進、文化大革命3000万人大虐殺開始
1950年 朝鮮戦争参戦
1951年 チベット侵略、占領(チベット大虐殺)、民族浄化継続中
1959年 インド侵略(中印戦争)アクサイチン地方を占領
1969年 珍宝島領有権問題でソ連と武力衝突
1973年 中国軍艦が佐渡島に接近、ミサイル試射
1974年 ベトナム、パラセル諸島(西沙諸島)を軍事侵略、占領
1976年 カンボジア、クメール・ルージュによる大虐殺を強力支援
1979年 ベトナム侵略(中越戦争)、中国が懲罰戦争と表明
1988年 スプラトリー諸島(南沙諸島)を軍事侵略、占領
1989年 天安門事件
1992年 南沙諸島と西沙諸島の全てが中国領土と宣言
1995年 フィリピンのミスチーフ環礁を軍事侵略、占領
1996年 台湾総統選挙恫喝、台湾沖にミサイル攻撃
1997年 フィリピンのスカーボロ環礁の領有を宣言
1997年 日本の尖閣諸島の領有を宣言
2003年 スーダンのダルフール大虐殺を強力支援
2005年 日本EEZ内のガス資源を盗掘
-----------------------------------------------------------------
2007年現在でも、非漢族に対する大虐殺、婦女子を強制連行・中絶・不妊手術、
まさしく民族浄化を継続中である。
記録に残ってるだけでもこれだけあるのに、
「中国は歴史上、他国を侵略したり、他国の領土で殺人・放火をしたことはない」
が政府の声明。
侵略と虐殺の限りを尽くすナチより凶悪・残虐な中国共産党。
何でリベラル派は中国共産党との友好を主張できるの?
2004年登録で今日カード再発行と同メルアド他所のパスワード書き換えやっとこうと思ったけど、
漏洩した登録時期が具体的になってきたよね。
これはセーフなのか、セーフそうだけど変更しとくに超したことはないのかどっちなんだろう
93 :
名無しさん@八周年:2008/04/07(月) 11:46:02 ID:ejWsikMB0
>>82 悪いことには、パスワードを暗号化してDB登録することを
嫌う顧客が存在するんだよな。
問い合わせがあったときにすぐにわからないとか意味不明な理由で。
おまえらは、問い合わせあったらDB見てそのまま回答するのかとw
あぶないあぶない。
まぁ、ECサイトではないんだが、一般ユーザーも使うような
システムだったから、頭おかしいとは思いつつ客には逆らえないorz
94 :
名無しさん@八周年:2008/04/07(月) 11:46:05 ID:+bou0ZZw0
ついに俺のところにもメール着た
初めての経験なのでドキドキしたけど
カード持ってないからまったく関係なかった
代引きマンセー
95 :
名無しさん@八周年:2008/04/07(月) 11:48:52 ID:ONV03KKp0
>>94 パスワードとかも漏れてるから全く関係ないって事は無いぞ。
96 :
名無しさん@八周年:2008/04/07(月) 11:49:14 ID:D0HHUYwG0
>>93 パスワードの再発行とかはお客さんがめんどくさがるから駄目だとか
すぐに確認できるようなシステムにしてくれとかそういうのはまれによくあるね。
1月にここでアンプを買ったんだよ
まったくよう…
>>86 現代の「水飲み百姓」の出来上がりだもんな
特に社会人一年生とか、カード作って浮かれてしまって10年取り付かれる
一年生って最初の給料がでるのが一ヶ月後って理解できないからww
いまどきSQLインジェクションはありえないと思うが、実際にはこんなもんか
カード関連会社に入ったら社員証がクレカだった。
でも渡される時の研修でキャッシングはするな、
ショッピングでも翌月1回以外は会社が儲けるだけ
と教えられたぞ
>>93 顧客が勝手にパスワード忘れたのが悪いんだから、
カスタマーサポートの人員がテンパる必要なんて無いのにな。
仮パスワードをメールで送って、終了なんだが。
パスワード替えたかったら、勝手にログインして自己責任で書き換えろやって。
発注してくる偉い人は、普段から上司に呼び出されると
「いかにオマエが無能であるのか?」を小一時間説教されてテンパる人なんだろうなw
お金と労力の削減するポイントを間違ってるかんじ。
>>101 そりゃ、カード会社だから、正しい社員教育ww
社員がカード破産したら問題だろ?
>>94 ここのログインパスワードを他でも使ってたらアウトだぞ
メールアドレスとパスワードでログインするサイトは全部変更が必要
ええ、俺がそうですともorz
そうそう。パスワードを使い回す例は非常に多いのよ。
106 :
名無しさん@八周年:2008/04/07(月) 12:10:00 ID:3nLkZe3p0
インジェクション♪ インジェクション♪
ガソリン節約、インジェクション♪
メルアドは同じの使ってるとこあったけど、ログインパスワードは同じの使ってるサイトはなかった。
念のため同じメルアド使ってるサイトは違うアドレスに登録し直したけど。
108 :
名無しさん@八周年:2008/04/07(月) 12:11:42 ID:WNjm0TDL0
>>88 逆に考えればさ、ヌルイんだよ ITは。
仕事さえ取ってこれれば、素人かき集めて商売になる。
ま、仕事取ってくる奴が一番偉いっつー事だな。
同じメアドと、パスで登録しまくりんぐだけど、もはや、どこのサイトで登録しているか
さっぱりわからん。どうしよう。一度しか利用していないサイトっておまえらもあるでしょ?
110 :
名無しさん@八周年:2008/04/07(月) 12:15:24 ID:xEo73m720
>>108 問題プロジェクトの大半は
いい加減な営業担当と客向けSEのヌルイ安請け合いが主原因
112 :
名無しさん@八周年:2008/04/07(月) 12:17:28 ID:tc/Ds9jw0
カード使用履歴のチェック方法
- 3/11日以降の履歴を入念に
- 4/03の夕方の時点でも、不法使用が発生してます(現在進行形の被害拡大)
- 請求先が、ガンホー、コーエーネット、MK-STYLEなどの
中華マフィアの温床的なゲームサイトなら、ビンゴ!!
すでに、現金化されたと思われます。
- 1万程度の使用を短時間に繰り返す (被害額は、 5万〜80万との報告)
- 1円請求で、カードの生死をチェックした痕跡もあり
114 :
名無しさん@八周年:2008/04/07(月) 12:17:39 ID:ejWsikMB0
>>111 政治的なw圧力に押される、ってこともあるな。
ここで言う「政治」って比喩だけど。
無理が通れば道理引っ込む、みたいなorz
115 :
名無しさん@八周年:2008/04/07(月) 12:18:45 ID:zoyh0rMg0
まあかき集められた派遣請負なんてまったく責任取らないからいい加減な仕事してるんだけど
上の方ってそれ知らないんだよな
テストフェーズとかも10段階のうち3ぐらいは飛ばしちゃおう時間無いし・・・みたいな事現場ではいっぱいある
116 :
名無しさん@八周年:2008/04/07(月) 12:28:55 ID:YQsYBHp7O
中の人は地獄だろうね…同情するわー
117 :
名無しさん@八周年:2008/04/07(月) 12:31:03 ID:WNjm0TDL0
>>113 でもさあ、例えば建築とかだと、最低でも図面読めたりするわけじゃん。
ITだと経営者もSEも平気で素人だったりするから。
コードの読み書き出来るのは派遣のPGだけ、とか。
118 :
名無しさん@八周年:2008/04/07(月) 12:33:04 ID:uMQOAkIf0
>>17 perlだから防げるという問題じゃねーよ とperl使ってる人間がマジレスしてみる。
119 :
名無しさん@八周年:2008/04/07(月) 12:33:54 ID:kH7QGozH0
ってかDBにカード番号を入れておく意味あるんか?
決済の時になるべく入力を少なくさせたいってのはわからんでもないが
無理に入れておかなくてもそれほど問題ないだろうにと思うんだが
120 :
名無しさん@八周年:2008/04/07(月) 12:33:57 ID:TcpTAbq8O
今時、SQLインジェクションの対策もしてないなんて、どこのアホだよwwww
SQLインジェクション(笑)
って程度の攻撃だろ、これ・・・。いまさらこんなの喰らうってどんだけなサイトだよ。
122 :
名無しさん@八周年:2008/04/07(月) 12:38:31 ID:owrmOiUK0
カード番号は蓄積しないほうがいいよなぁ
毎回入れてもそんなに不評はかわんだろ。
この中国からの大規模SQLインジェクション攻撃は
MicrosoftのASPの弱点を攻撃しているのだが
この事がニュースで触れられることはほとんどない
124 :
名無しさん@八周年:2008/04/07(月) 12:40:23 ID:zoyh0rMg0
毎回入れるのも危険なんだけどこれじゃどっちが危険かわからんな
125 :
名無しさん@八周年:2008/04/07(月) 12:42:59 ID:3nLkZe3p0
>>121 金をケチって中国人に作らせたコードなんじゃね?
だからショボイ攻撃でも受け付ける。彼らはピンポイントで狙い撃てる。
安い価格で釣って後から大きく儲ける手法だな。
毎回入れるのが危険って、サイトと自分のどっちを信じるんだ?
サウンドハウスから昨日一回目、さっき二回目のお知らせメールが来た
早速カード止めた、話通り再発行料無料だが新カード届くまで十日かかると
色んな支払いに使ってるカードだからちょっと面倒だな
お詫びに割引券でもくれないかな、ゼンハイザーのHD25が欲しいんだが
>>9 丸投げ先の孫請けあたりに、中国人がどちゃっといるんだろ。
で、仕込みの回収をした、と。
>>125 なんにせよ、オフショアー開発とか中国人下請けとかに警戒するようになるのは、よい傾向である
っていっても懲りず、監視役として島送りされるんだろなww
楽しみは小姐だけってね?
130 :
名無しさん@八周年:2008/04/07(月) 12:49:03 ID:zoyh0rMg0
毎回入れるって事は自宅のPC以外でも入れなきゃならなくなるから
職場やネカフェから仕方なく利用する人もいるでしょ
毎回入れてるのはかなり危険
>>14 手口をそのまま公表はせんだろ。
防犯設備会社の社員が合い鍵作って金庫盗ったのかもよ。
古典的だけど、効果絶大の手口。
それ仕込んだ技術者は、とっくに辞めてるだろうしね。
こんな馬鹿ばかりじゃどうしようもねぇ
中国のスクリプト小僧に簡単にやられるのも当然だな
133 :
名無しさん@八周年:2008/04/07(月) 12:51:56 ID:L9erVi7yO
>128
検証フェーズかもしれん
最近品質管理でテストを中国に依存する率高くなってきたから
日本の会社に頼んでもさらにその下請けで・・・とかざらにある
>>130 そんなレアケースを持ち出されてもww
だいたい、ネカフェから入れていいのは他人の(ry
>>123 具体的には?
単純にVBだから文字列の扱いが甘いだけかと思ってたが違うのか?
136 :
名無しさん@八周年:2008/04/07(月) 12:59:56 ID:3nLkZe3p0
Windowsも中国人のコードによって、、、IMEなんてその最たるものだったじゃん。
unixでもフリーな世界は危険だよ。ソースが見えていても平気で仕込むんじゃね?
137 :
名無しさん@八周年:2008/04/07(月) 13:00:18 ID:gIrxldVS0
5年ほど前にここでイヤホン買ったけど、
「2007年1月1日〜2008年3月22日までに新規会員登録を行ったお客様のデータ」
に該当しないから大丈夫なんかな?
138 :
名無しさん@八周年:2008/04/07(月) 13:01:59 ID:EnMcPwGu0
>>137 俺登録変更行ったんだけどそれも駄目なのかな…
139 :
名無しさん@八周年:2008/04/07(月) 13:06:16 ID:5zslWErx0
ステートメントで特別な意味のある記号をエスケープしなかったとか、そういう話?
>>140 簡単に言うとそう。
サニタイジングは今のWebアプリじゃ初歩中の初歩
どっかのアダルトグッズサイトでは
〜.com/?sql=select+name,tel+from〜
でSQL実行できる開発テストに優しい環境だった
Hacker Safeって意味ないんだなと実感するな。
SQLインジェクションでやられるなんて、McAfee涙目だろw
144 :
名無しさん@八周年:2008/04/07(月) 13:12:05 ID:3G3mEnfV0
音屋使用暦のある人は全員再発行を推奨します
333 名前:315[] 投稿日:2008/04/07(月) 11:48:32
カード会社は楽天
3/25 不正利用(オンラインゲーム約60万)
3/27 楽天モニター室から電話。
風俗行ったかとかゴルフ場いったかだの散々聴取される。
で、不正に使われたということで強制停止の再発行へ。
しかし調査等が済むまで1ヶ月以上掛かるから我慢しろよと。
4/1 楽天から強制停止お知らせ一斉メール。(この時点より前に既に強制停止)
4/3 音家お漏らしやっちゃいました宣言
4/7 再発行の手続きとか時間も変わるのかと思いさっき楽天に電話してみると
「音家お漏らしリストにはあんたの名前はない、
一応、音家利用者なんでカードの再発行はしてあげます。」
不正利用の調査した上、再審査など含めて時間は1ヶ月以上かかるよと念押し。
俺ポカーン。
音家に電話。リストに名前ありの回答。
どうなってるんですかね〜俺ニヤニヤ。
一旦楽天に問い合わせて折り返し連絡するということで電話切られる。
そして
「その件に付きまして、折り返し楽天から電話がありますので
宜しくお願い致します」と用件を早口で喋り電話切られる。
音家スタコラサッサー
360 名前:315[] 投稿日:2008/04/07(月) 12:30:49
>>333の続き
楽天から連絡あり
カード会社に回ってるリストは
緊急に止める必要がある特に危ない人のリストらしい。
俺のように既に不正利用されたとしても
リストに載らない人もいるらしい。
結局、再発行はめんどくさい手順のまま・・・
音家どうなんだろな実際の調査ってオイッ
>>143 ちょっと前にトレンドマイクロがウイルスデータベース改竄されて涙目になったばっかだし
どこも駄目だなw
なんだかんだ言っても機材は最安値
サウンドハウス、中国なんかに負けるなよ。
147 :
名無しさん@八周年:2008/04/07(月) 13:15:06 ID:r9Eq8uWd0
マカフィーは何をやってたんだ。
こんなことがあっても、マカフィーは謝罪文さえ掲載しないんだな。
終わってる糞セキュリティ
148 :
名無しさん@八周年:2008/04/07(月) 13:15:55 ID:Tp5BJaOp0
SQLインジェクション対策とってないとは…
素人の仕事としか言い様がない
ああ、なんかメールきてたな。
こんな大事なってんのか。
300円程度のボルトみたいなん一個現金で買ったことあるだけの俺には関係ねーっすね。
>SQLインジェクション
懐かしいな
古典的クラック手法だと思うけど
ことさらに中国批判をするより
脆弱なシステムを設計した側を非難すべき
151 :
名無しさん@八周年:2008/04/07(月) 13:17:56 ID:zHYDP4LV0
アホが多い今の世の中では「中国から〜」と言えば批判が弱まる。
>>78 そんなお調子者にSE任せられるなら、落ちこぼれPGのままいいや…
153 :
名無しさん@八周年:2008/04/07(月) 13:19:07 ID:zoyh0rMg0
とりあえず今の時代は全て小泉と中国のせいにしとけば全てはうまくいくよ
156 :
名無しさん@八周年:2008/04/07(月) 13:21:53 ID:ejWsikMB0
まぁ、仕様どおりのDB操作ができればUTオッケーとかになって、
統合テストでもセキュリティに関するてすとはしないんだろうからな。
実はそんなシステムばっかなんだろうな。
>>152 技術書読んでシコシコしてる神経質な日和見PGの方が、よっぽど手堅いコーディングしてるよ。
てか、海外に接続できないように、中国政府ってIP遮断してるんじゃないの?
それとも国家ぐるみで犯罪してるの?
159 :
名無しさん@八周年:2008/04/07(月) 13:33:53 ID:kH7QGozH0
入力された値のチェックもしないようなプログラムを組む時点でどうかと思うんだが
これって入力したSQL文をそのまま実行させちゃうやつだろ
初歩的なミスじゃん
>>128 確かに、意図的にバグを残して、そのバグを利用して攻撃するということは
考えられるよね。
中国人だとやりかねないと思ってしまう自分が怖い。w
>>129 だね。
自分もシステム開発してるけど、完全なソースコードレビューやテストって
時間的に中々難しいのが現状だけど、もっと気合入れてやらないと駄目だね。
まー、オフショアなんて全くしてないんだけど。w
163 :
名無しさん@八周年:2008/04/07(月) 13:40:16 ID://Xp9Ryg0
音屋傘下システム屋の ゆとり PG 乙!!
仕様に無いパラメーターを受け付けるようになってるんじゃね?
ソースコードを読まなきゃ発見不可能なバックドアかもね。
明確なバックドアだとやばいから、そんな穴の形で用意された仕込みだったら
ほぼバレないだろうな。かなり詳細なテストだってくぐり抜けちまうだろう。
FC2のブログもSQLでウィルス仕込まれてるって話が前にあったな
オンラインゲームのキャラを盗むらしい
166 :
名無しさん@八周年:2008/04/07(月) 13:53:03 ID:0CNkwKmd0
今月に限って140万の枠、超えて使っていたから
犯人使おうとしても、使えなかったのかな?
167 :
名無しさん@八周年:2008/04/07(月) 14:00:15 ID:8Cxiz0O10
メジャーな攻撃手法だから笑えるけど、中国は国家でクラッカー育成してるようだから、
他人事だと笑ってられないよ。
168 :
名無しさん@八周年:2008/04/07(月) 14:01:05 ID:RnThJZ5j0
>>166 すぐ使えるカード情報:犯人的優良カード
有効期限切れ:類推すれば大体分かるけど犯人的にゃめんどくさいので後回し
限度額オーバー:犯人「このカスが死んじまえ(#`ハ´)」なカード
餃子でご迷惑をおかけしていることだし、あまり大きく騒いで被害者ぶるのはどうかと思う。
170 :
名無しさん@八周年:2008/04/07(月) 14:05:05 ID:8Cxiz0O10
何よりも問題は、中国が全くこの手の事件で捜査したり、解決したという話を聞かないこと。
国家で犯罪やって外貨稼ぎやってんじゃないのか?
172 :
名無しさん@八周年:2008/04/07(月) 14:06:56 ID:kH7QGozH0
>>170 中共中央政府はさすがにないだろうが
地方政府の共産党員の中にはそうやって稼いでいる人もいるかもしれんねえ
173 :
名無しさん@八周年:2008/04/07(月) 14:07:02 ID:zoyh0rMg0
自宅鯖立ててみればいかに中国からのアタックが多いかがわかる
下手するとログの9割ぐらいが中華アタックになってたりするw
174 :
名無しさん@八周年:2008/04/07(月) 14:11:17 ID:EnMcPwGu0
>>173 日本政府も中国からのアクセスを遮断すればいいのに
また、中国か。
毒餃子のくせして。
チベットがんばれ
176 :
名無しさん@八周年:2008/04/07(月) 14:18:17 ID:ONV03KKp0
SQLインジェクションを舐めてる奴多いな。
エスケープ位しろよとか甘すぎだ。
多分そう言ってる奴のサイトもエスケープしてるつもりで出来てないサイトが多いんだろうな。
決してド素人ではない、セキュリティー専門家ともいえるサイトも陥落しているんだ。
最近増えてるし全然過去の問題じゃねーよ。
>>176 それはおまえの会社だけ。
普通はテスト要件に入っている。
178 :
名無しさん@八周年:2008/04/07(月) 14:26:36 ID:Gxto9E000 BE:57708375-2BP(2)
179 :
名無しさん@八周年:2008/04/07(月) 14:29:19 ID:ONV03KKp0
>>177 そのテスト要件が完璧と言う保障はどこにあるの?
つーか、エスケープするんじゃなくてエラー返せよ。
180 :
名無しさん@八周年:2008/04/07(月) 14:29:42 ID:mcj2HMUc0
>>178 ていうかSQL文を直接構成させる場合には常に発生しうる問題。
LINQとか、クラスライブラリに隠蔽するとか、しないと。
>>178 だからPHPじゃない。ASPだ。
おまえ工作員か?
ここって中国メーカーのパールリバーってところのピアノを扱ってるんだよね
>>179 入力項目が網羅できない仕様なんてあるわけないだろ。バカかおまえ。
>>176 同意
そんなに簡単な対策ではない
それこそ簡単って言ってるやつは音家のアプリ修正してやれよ
みんな喜ぶぞ?
まぁできないだろうけど
186 :
名無しさん@八周年:2008/04/07(月) 14:35:36 ID:kH7QGozH0
>>185 そう思うならクレジットカード番号なんてモノを生データのままDBに保管するのはやめればいいのに
187 :
名無しさん@八周年:2008/04/07(月) 14:35:57 ID:ONV03KKp0
>>ONV03KKp0
おまえんとこのスキルを世間一般だと思われると、痛すぎる
テストってなんのためにするの?w
189 :
名無しさん@八周年:2008/04/07(月) 14:37:46 ID:8Cxiz0O10
中国か・・・今、中国で仕事請け負ってる開発会社多いね。
中国人社員が自分で穴を作っておいて、仲間がそれを攻撃するとかもできるし、
しかも餃子みたらわかるが、政府も捜査なんかしないからつかまることもない。
中国公安も「日本ざまぁww」くらいの感じだろう。
>>186 は?
俺が生データのままDBに保管してるって書いたのか?
お前頭大丈夫?
>>176 手抜きでエスケープ仕切れてないんだろうな。
Webアプリ本体だけじゃなくて、WAFやIDSでアプリ周りのぁゃしい文字のチェックと
データベースそのものの対策(アカウントの分離とか権限の最小化)もされてれば
まずこの手のクラックにはひっかからないはずなんだが。
192 :
名無しさん@八周年:2008/04/07(月) 14:39:19 ID:kH7QGozH0
>>190 いや、おまいが音家のアプリ修正してやれっていうからよ
しかたない。結論をいおう
・SQLインジェクションで破られるサイトはカス
多数のマジメなサイトは金かけて対策している
・しかし、SQLインジェクション対策は結構大変
SQLインジェクション対策を簡単とかいってるやつは実際に対策したことがないやつ
中国ってスーパーハッカーが多いの?
>>192 お前らは「自称」システムに詳しいんだろ?
なら音家のシステムを完璧に改善してきてよ
被害にあった人も少しは安心できるだろ
まさか口だけじゃないよね?
196 :
名無しさん@八周年:2008/04/07(月) 14:41:47 ID:ONV03KKp0
>>191 addslashしかしてないとかね。
それでエスケープした気になってる奴は山ほど居るだろうね。
大変なのは馬鹿が作った既に稼働してるアプリを修正する事だ
それと現場からおまえらのような馬鹿を排除することも難しい
199 :
名無しさん@八周年:2008/04/07(月) 14:44:19 ID:ONV03KKp0
>>194 違法コピーが当たり前でトロイなんか仕込まれてる場合も多く踏み台も多い。
200 :
名無しさん@八周年:2008/04/07(月) 14:44:43 ID:kH7QGozH0
>>195 不必要にハイテンションで反応されてもなあw
まさか関係者とかか?
>>200 すぐ工作員とか反応するところが厨房臭いw
で、君は対策はできるの?
202 :
名無しさん@八周年:2008/04/07(月) 14:47:50 ID:kH7QGozH0
>>201 ずっと書いてるけど
見られて困るデータはなるべくDBには保存させないし
どうしても入れる際には生ではいれないって程度だな
>>197 >>199 なるほど、無法地帯なわけですね
ツールが出回るほど有名な穴が開いてるのなら、対策してない方が悪いような気がする
素人だが中国からの接続は全部拒否したら、一番簡単な気がするw
idとpassの流出がいてー
俺だいたいそれつかってるのに・・・
言い合いしてるやつら、お前らまだまだ二流のガキだぞ
よくある、プログラマどおしのオレが正しいの言い合い
一流はかならず妥協点をみつける、それが仕事を終わらせる近道だからだ
>>202 それ全然SQLインジェクションの対策になってないんだけど?w
207 :
名無しさん@八周年:2008/04/07(月) 14:49:38 ID:ONV03KKp0
まぁテストはHacker Safeという専門家にやらせてたようだが
それで検知できない物だったと言うことだ。
Hacker Safeのサイト見てみたら個人情報漏洩保険付きなんだな。
保険が降りるから音家はノーダメージってことか。
208 :
名無しさん@八周年:2008/04/07(月) 14:50:21 ID:kH7QGozH0
>>206 だからお客にその値段ならその程度ですよ?って話をしてるんだよ
見られて困るものは入れないってだけさ
209 :
名無しさん@八周年:2008/04/07(月) 14:51:57 ID:q5vpWiHA0
>>187 バカスw
程度が知れるからもう黙ってなさい。
>>204 パスワードってだいたい不可逆暗号で保存するもんだが、生だったのかな
だとしたら、俺もそっちの方がかなり痛いかも・・・。
SQLインジェクション問題だけじゃないな、ここのセキュリティに対する認識の甘さは
212 :
名無しさん@八周年:2008/04/07(月) 14:53:43 ID:xfrkcjLR0
>>193 >SQLインジェクション対策は結構大変
そうなの?「'」や「"」をエスケープするだけじゃ駄目なの?
>>212 つーか文字列連結で SQL 組み立てんな。
214 :
名無しさん@八周年:2008/04/07(月) 14:57:47 ID:WNjm0TDL0
>>212 ダメ。色々あるけど例えばマルチバイト文字の処理をどうするかってこともある
でしょ。プラスそれをどのレベルまでやるかということよん。
SQLインジェクションというのは対策は難しくはないんだが兎に角面倒なんだよ。
どの対策でも絶対ということはないけど、複数の対策を併用して丁寧にかけて
おくことで防御効果が飛躍的に高まる。
但し当然鯖に負荷がかかるし、手間もかかるから金がかかる、その辺の問題
じゃないかな。トレンドマイクロHPの改竄についても、その辺の詰めが甘かった
だけの事で特別な事は何もない。
>>212 > たいてい、100%なんていうやつがやらかすのも現実だよ
> 特にデータのチェックっていうより、「SQL文の組み立て」って本質がわかってないやつにはね
217 :
名無しさん@八周年:2008/04/07(月) 14:58:54 ID:q5vpWiHA0
>>212 単純にホワイトリストで入力値チェックやったりサニタイジングで適切なエスケープしても
複雑なDB構成の場合はテストパターンが膨大になってかなり面倒なのは事実
実際にはある程度のラインまでしかテストしないのが現状
今回はどのレベルまで対策していたのかはわからんがね
>>217 DB構成関係あんの?w
SQL構文が混じらないようにすることが本質じゃね?
219 :
名無しさん@八周年:2008/04/07(月) 15:03:39 ID:ONV03KKp0
>>212 全然ダメ。それだと\付けるだけで破られる。
=1\' and 1
の'を\'にエスケープすると
=1\\' and 1
になって終わり。
他にも文字コードの変換やらで一筋縄じゃ行かない。
今回は相当なテストをやってるようだよ。
ハッカーセーフのサイトによれば。
それでもダメだった。
本当にハッカーセーフに登録してたか怪しいもんだが。
>>211 認識が甘いとかじゃなくて、単にバカなんじゃないかって気がしてきたよ
↓ 客への反論だけど、
/// 掲示板からの引用スタート
貴重なご指摘、ありがとうございます。弊社も今回の不正侵入を機に、勉強不足であったことを謙虚に認め、
今後はできる限りの対策を行っていく所存です。差し支えなければ、例えば通販ショップの中でも、xxxx社は
完全にハッカーフリーの対策を実施しているという事例がありましたら、教えてください。
多数の販売店が今をもって被害を被っている、ということを聞いており、色々な事例から学びたいと考えております。
例えば、ウィルス対策で有名なトレンドマイクロ社も、弊社と同時期、3月12日にSQLインジェクションによって攻撃を受け、
弊社と同様に中国から設置されたサーバーから○○○○jp.jsを読み込むスクリプトタグが埋め込まれていたことは、周知
の事実です。上場企業、しかもセキュリティー対策の会社が自ら被害を被っています。するとT社だけでなく、その他、同時期
に攻撃を受けた会社も世間の「笑い者」になるとは、とても思えません。
また、サイバー攻撃の背景に潜むハッカー軍団の実態はそんなに甘くないと見ています。
/// 引用エンド
インジェクションがどうとか言うのアホらしいレベル。 DB管理や構成が悪いとかまるで念頭にない。
221 :
名無しさん@八周年:2008/04/07(月) 15:05:32 ID:YmuiSN6e0
セキュリティ検証会社作っていろんなとこに試して、重大なセキュリティバグが発見されました
詳しい報告書、再構築希望はこちらまでってやれば儲かるんじゃねwwww
>>218 >SQL構文が混じらないようにすることが本質じゃね?
違うだろw
>>219 \記号を禁止するだけだろ
なんか適当なことほざいてケムに蒔こうとしてね?
224 :
名無しさん@八周年:2008/04/07(月) 15:06:23 ID:xfrkcjLR0
趣味でPHP+MySQLを使ったシステムを運営してるんだが、
インジェクション対策としてはmysql_real_escape_stringぐらいしかやってない・・・
これだけじゃ駄目だって事か?
225 :
名無しさん@八周年:2008/04/07(月) 15:07:40 ID:BIJAQdFnO
>>212 多バイト文字を使えばイチコロ
特に外国のサイトはザル
>>ID:Niuh41pv0
まぁ…あれだ
その辺でいいよ
227 :
名無しさん@八周年:2008/04/07(月) 15:08:20 ID:ONV03KKp0
>>220 バカなのは間違いない。
流出の事実が発覚してもサイト運営してたし
それ所かキャンペーンまでやってる意識の低さ。
これちゃんとシステム管理してれば、バグ修正出来るレベルじゃないの?
>>224 うん。
でも金のからんだサイトでなければまず大丈夫だと思うけど。
大抵は泥棒が目的だから。
230 :
名無しさん@八周年:2008/04/07(月) 15:10:03 ID:CpeJo/oE0
ECサイトのパッケージなら普通カード情報は暗号化後に保存とかしてると思うが
あぁ、「だから流出した可能性がある」って言ってんのか
マルチバイト文字が〜ってのはUTF変換してから評価しろよ
232 :
名無しさん@八周年:2008/04/07(月) 15:10:32 ID:WNjm0TDL0
>>219 ならないんじゃない?
=1\\\' and 1
こうなるはずじゃね?
>>222 どう違うの?
SQLインジェクションとDB構成の関連について具体的に頼むわ
234 :
名無しさん@八周年:2008/04/07(月) 15:13:21 ID:ONV03KKp0
>>232 >212は\はエスケープしてないよ。
仮にエスケープしたとしてても別の方法で破れるよ。
ニワカが付け焼刃の知識披露大会か
まあ、適当なセキュリティ解説サイトの簡単な例を見てのことだと思うけどね
プレースホルダとかが一言もでてこないからそれも怪しい
238 :
名無しさん@八周年:2008/04/07(月) 15:16:50 ID:WNjm0TDL0
>>234 ごめんごめん。俺のは普通に addslashes してた場合の話ね。
239 :
名無しさん@八周年:2008/04/07(月) 15:17:55 ID:GG4v9Ool0
>中国国内の複数のIPアドレスからSQLインジェクション攻撃が
>仕掛けられていたことが分かった。
迂回されればそれまでだけど、せめて中韓アドレスは弾いておいても
いいんじゃないのかなあ。どうせそっち向けに商売してないんでしょ。
危ない危ない。つい先日使おうとしてた。
SQL は外部定義して動的に組み立てさせない。まぁ検索パターンが複雑でプログラム的に
WHERE 句を作らなきゃいけない場合のパスは用意するにしても、該当箇所は相当絞れる。
これだけのフレームワーク作る程度で SQL インジェクションは防げる。難しいとか言っている
奴は設計で縛りを入れるという発想がないのか? 文字列連結がデフォなのか?
>>239 それも対策のひとつではあるけど、何故サウンドハウスがロックオンされたのか、
その辺が一番気になるね。
SQLは面倒だよな
しっかりやってるつもりでもいつ突破されるか解らないしな
245 :
名無しさん@八周年:2008/04/07(月) 15:24:33 ID:sy7Zr5I50
どこに本質があるのか抽象化できない、マルチバイトがーとか
入り口で止めりゃいいのに最初に拡散させてから潰そうとするできないやつがチラホラ散見・・・
web系なんてプログラマの最底辺だからな・・・
ここのデータベースって何を使ってたんだろう?
複文クエリを簡単に実行できる種類の物だったんだろうか…
248 :
名無しさん@八周年:2008/04/07(月) 15:27:25 ID:4r+nk9wH0
で、SQLインジェクションってなに??
249 :
名無しさん@八周年:2008/04/07(月) 15:27:58 ID:BIJAQdFnO
>>244 セキュリティ欠陥なんて9割は設計の甘さだよ
金がかかる?そんな根本的な対策が必要なら身の丈に合ってないんじゃね?
250 :
名無しさん@八周年:2008/04/07(月) 15:28:17 ID:Y2Tf9ON90
SQLの問題じゃなくてパターンマッチの問題なんだけどな
入力をサニタイズしないことなんてあり得ない
253 :
名無しさん@八周年:2008/04/07(月) 15:30:22 ID:HmPi74ex0
>>243 一瞬ロックオンってWeb通販ソフト作ってる会社の名前かと思ったw
ていうかレベルの低いプログラマが変なサイト作るよりも、
EC-CUBEカスタマイズした方が安全なサイトができるんじゃないのかなぁ?
>>242 だからさ、状況によるって
前スレで少し書いたけど、例えば、
・ASP で SQL文ベタ打ちで作られた
・それなりの規模の
・それなりの歴史のある
ECサイトがあるとする
・その社長は商売はそれなりにやり手だけど、システムのことは無知
・調子のいいシステム担当重役(パソコンショップの元バイト上がりとかww)
な会社組織
・旧DBの一部を残したまま
・新DBにAccout テーブルを追加
・もちろん旧DBの Accout テーブルも使用する
・多分、商品表示・検索・発注も変更する
やっつけな仕事が舞い込んだ
さあ、おまえならどうする?
256 :
名無しさん@八周年:2008/04/07(月) 15:35:07 ID:Ph0NC5080
サウンドハウスからメールが来てたけど
去年なにも買った記憶がない
一応問い合わせたら2004年の購入履歴があった
それだと大丈夫らしい
ほんとに大丈夫?
>>254 アフォみたいな料金取ってるHTMLのみのWEBデザイン会社いっぱいあったしな
中小企業でネット進出が早ければ早いほど怪しい会社に任せてそうだ
258 :
名無しさん@八周年:2008/04/07(月) 15:38:23 ID:Cx0z+ay60
せめてストプロにしないとね
259 :
名無しさん@八周年:2008/04/07(月) 15:38:27 ID:ejWsikMB0
任意に入力された値をDBがSQLとして解釈する危険性を
防げればいいんだから、
SQLに画面入力項目を含めたいときに
直接文字列として構成するのではなく
SQLはパラメータ化SQLで作っておいて、
可変項目はパラメータとしてDBに渡す、ではだめなの?
DB側で勝手にパラメータ項目をSQLの一部として解釈することはないよね?
違うのかな??
260 :
名無しさん@八周年:2008/04/07(月) 15:41:07 ID:zHYDP4LV0
これまでのまとめ
・実際にカードの不正利用をされたのは極一部の利用客のみ
・サウンドハウスの対応が遅れたように見えたのは、確実正確な情報のみ伝えるため
・WEBで流出したことを公開し、利用者の負担が無いことを保証など、サウンドハウスの誠実な対応が光る
・流出はハッキングによるもので不可抗力、サウンドハウスに非は無い
・利用客は二次的で間接的で潜在的な被害者にすぎない
・利用客には、迂闊にもネットでクレカを使ったという重大な過失がある
・一番の被害者はサウンドハウス
・普段からお買い得なのに、今なら3%リベートキャンペーンで更にお買い得
・情報が漏れたのはたったの9万人
・犯行の手口はSQLインジェクションという特殊で高度なハッキング手法で、防御は不可能
・クレジットカードの再発行は過剰反応
・風俗とかそんなことばかりしてるからスキミング被害にあう。自業自得。濡れ衣着せられた音屋かわいそう。
261 :
名無しさん@八周年:2008/04/07(月) 15:42:11 ID:3f3wZBrK0
実害の無いお前らが必死で、
それを実害のあった俺らがニヤニヤしながら見てるってのもおかしなもんだw
262 :
名無しさん@八周年:2008/04/07(月) 15:44:03 ID:uRV56FueO
昨日CDJたのんだのだが、
うちにもメール来てたわ
まぁ買ったのだいぶ前だし代引きだった気がするから関係ないな
264 :
名無しさん@八周年:2008/04/07(月) 15:46:05 ID:Rk1JMGh+0
やっぱカード決済は怖いな。
歌舞伎町の外人から買うのが一番安全だな。
>>254 新規に作る分は対応して、旧分は抜き打ちでレビューだけして可能性があるなら
その危険性をクライアントが認識できるまで丁寧に警告する、だろ。
どうするも糞もねぇよ。
>>265 お前がWebアプリを作ったこと、それもASPの経験がないのだけわかった
まあ、踏み込まないほうがいい世界もあるってことだ
もちろん、音屋をかばうつもりもないけどな
267 :
名無しさん@八周年:2008/04/07(月) 15:51:23 ID:sy7Zr5I50
IDが赤いやつは漏れなく面白いなw
>>266 ASP なんかあるわけないだろw
おまえの安い仕事を自慢されてもなぁ。
269 :
名無しさん@八周年:2008/04/07(月) 15:52:34 ID:WNjm0TDL0
270 :
名無しさん@八周年:2008/04/07(月) 15:53:55 ID:645lqYG/0
>>266 web業界はホームページ屋さんに毛が生えた程度の業者がいっぱいで、過当競争で大変そうだな
271 :
名無しさん@八周年:2008/04/07(月) 15:54:29 ID:ECflDmO20
ああ失礼、よく読んだら自虐が趣旨のレスだったか。
セキュリティに完全はないよな。どんなに時間と金をかけて対策しても、絶対に100パーセントはない。
そういう意味じゃカード決済でネットショッピングって恐ろしいな。
>>271 だからオブジェクト化しろって言ってるだろカス!
275 :
名無しさん@八周年:2008/04/07(月) 16:02:42 ID:kGZKScil0
また、重ねて申し上げますが、万が一、お客さまのカード情報が第三者に不正利用され被害が発生した場合につきましては、お客さまのご負担は一切発生しませんので、ご安心いただきますようお願い申し上げます。
ってようは、それ以外の被害については一切負担しませんのでご安心下さい^^
って事だろ。
うぜええ
ほんと安かろう悪かろうだな。
276 :
名無しさん@八周年:2008/04/07(月) 16:03:40 ID:nK+3SZttO
ニコスしかない俺は勝ち組
277 :
名無しさん@八周年:2008/04/07(月) 16:04:56 ID:vyH9x+oo0
PreparedStatementでやってないところがいまどきあるのか、、、
278 :
名無しさん@八周年:2008/04/07(月) 16:05:04 ID:8Cxiz0O10
>>158 遮断してるのは政府にとって都合が悪い情報だけ。
犯罪者は野放しか、政府関係者もやってるだろう。
逮捕する奴はいない。
で、その犯罪で得た金を落としてもらったと喜んでるのが馬鹿な日本の観光地。
279 :
名無しさん@八周年:2008/04/07(月) 16:05:24 ID:UzQjVWoQO
そういやカード会社がカード止めてたな
問い合わせる身にもなってくれ
280 :
名無しさん@八周年:2008/04/07(月) 16:07:22 ID:b31DSO/Q0
>>273 カード会社によっては、ネット通販で不正使用が発覚した場合も被害補償
してくれるところがある。そういうカード会社を選べば実質的な被害は0。
ネット通販は便利だから、補償規定について選択眼を持てばいいだけの話。
そもそも大陸からのアクセスはDenyしとけよ
282 :
名無しさん@八周年:2008/04/07(月) 16:14:16 ID:8Cxiz0O10
283 :
名無しさん@八周年:2008/04/07(月) 16:19:18 ID:e7b80+IW0
3/28に新規登録した俺はセーフ…のはずだよな。
その日カード決済で買い物しようとしたら「今カードの取り扱い中止してる」って
出たんだがコレのせいだったのか。まあ振込み面倒だから買うのやめたけど。
一週間早かったら普通にカード番号登録してたわ。危なかった。
284 :
名無しさん@八周年:2008/04/07(月) 16:19:38 ID:1vKWcerX0
285 :
名無しさん@八周年:2008/04/07(月) 16:19:41 ID:YxBg80gi0
>>1 >クレジットカード情報(会社名、カード番号、有効期限、カード名義)、
>性別、生年月日、サイトログイン用メールアドレスとパスワードが
>流出した可能性があるとしている。
これで支那人にWebサイトで買いものされまくるんだろうな。
何百万という請求が来月には来るな。
286 :
名無しさん@八周年:2008/04/07(月) 16:22:03 ID:kGZKScil0
>>280 不正使用が発覚ったって
クレジットカードの暗証番号が当てられたら補償外だろ。
今回は暗証番号は漏れてないらしいが、
連番の奴とか、生年月日の奴とかは
運悪くチャイナに当てられたら死亡だぞ。
そもそもこっちは不正しようされた証明する事はすごく困難
288 :
名無しさん@八周年:2008/04/07(月) 16:31:21 ID:kGZKScil0
各カード会社対応一覧とかないのかな?
結構悲惨な目にあったからカード会社乗り換えたいwww
290 :
名無しさん@八周年:2008/04/07(月) 16:41:02 ID:Ff+4qAVK0
中国のウェブサイトって政府も民間もasp使ってるサイトが多くて、
IEじゃないとまともに見れない、サービスを受けられないところが多い。
しかもOSはコピーばっかりで、個人もアンチウィルスソフトさえ入れてない、政府系サイトや
大手メーカーでもスクリプト埋め込まれてることが普通にある。
・・・という状況なんだけど。
それだけasp使ってるサイトを攻撃し慣れてると思う、
292 :
名無しさん@八周年:2008/04/07(月) 16:42:30 ID:ECflDmO20
>>165 最近猛威振るってるよね。それ
ゲームのアカウント持ってる人は十分気をつけたほうがいいな
お詫びは言葉だけじゃなくて・・・ねぇ。w
大和の湯の無料利用券とかじゃ、ねぇ。w
>>280 今回の場合、それに音屋があぐらをかいているようにも見えるんだな。
>>273の言うように100%安全というのはないというのには同意なので
「個人情報は保護されており安全です」みたいにサイトに書いておくのも考え物かも。
食べ物でも、「まれに製品に黒い粒がありますが製造上のxxなので問題はありません」
みたいなのもあるけど、あれも逆に考えると怖い。
296 :
名無しさん@八周年:2008/04/07(月) 16:50:20 ID:NVRV6eZt0
まあ、Windows鯖やめるってだけでも相当なセキュリティアップになるな。
297 :
名無しさん@八周年:2008/04/07(月) 16:57:27 ID:8Cxiz0O10
>>295 嘘でもそういう風に書いておかないと他にお客さんが流れるだろうからね・・
298 :
名無しさん@八周年:2008/04/07(月) 16:58:36 ID:flAI2Ny+O
しかしまさか一度ギターカポを買っただけで自分が騒ぎに巻き込まれるとは…orz
299 :
名無しさん@八周年:2008/04/07(月) 17:01:16 ID:8Cxiz0O10
301 :
名無しさん@八周年:2008/04/07(月) 17:02:19 ID:Pl/Ev3kt0
>>295 食料品の成分表みたいに、サイトのシステム構成(OSとかサーバーの種類)を
どっかに書いときゃいいんじゃね?
少なくとも賢いヤツは、Win鯖はヤバいから避けるとかできそう。
どうせちょっと調べりゃ分かる事だし。
302 :
名無しさん@八周年:2008/04/07(月) 17:02:51 ID:xQ3N7SM60
2月に初利用したんだけど、案内メールにびっくり。
慌ててカードを止めたけど、とりあえず今のところ被害はない模様。
しかし、他の個人情報が流れたとしたら、かなり痛いよ。
303 :
名無しさん@八周年:2008/04/07(月) 17:10:57 ID:8Cxiz0O10
他にもマスターカード番号とアメリカの住所作成ソフトとか、VISAカードの桁数教えてくださいとか、
クレジットカード売買とか、普通に出てくるよ、百度。
304 :
名無しさん@八周年:2008/04/07(月) 17:12:36 ID:kGZKScil0
305 :
名無しさん@八周年:2008/04/07(月) 17:26:20 ID:cNTIyyH20
引越ししたから、ほぼ一からDAW(&DTM)システム組みなおしたんだけど、
ちょっと音源が寂しいと思って10万程買ったんだよな。
代引きだけど、去年の6月位に orz。
住所と電話番号以外もれてるじゃないかよ
306 :
名無しさん@八周年:2008/04/07(月) 17:34:01 ID:8Cxiz0O10
>>304 たぶん売買される。
カード番号と名前だけならまだしも、住所とか漏れるのは怖いよね・・・
>>302 ワシも、2月にFirewire Audio I/Fをここで初めて買った。
以後のいきさつは以下の通り。
//引用開始
711 名前:名無しさん@八周年 メェル:sage 投稿日:2008/04/06(日) 01:58:41 ID:U3srlyUl0
2月末頃にサウンドハウスで買い物した。
…
3/24に三菱UFJニコス(DC)より連絡あり。
「3/22にネットゲームで不正使用未遂あり」との連絡。
「安全のため、至急カード番号変更&再発行」をお願いされる。
速攻受諾し、再発行完了。
三菱UFJニコス(DC)は神!
サウンドハウスよ、お前の仕業だったんだな。
悔い改めよ!
//引用終わり
全く困ったもんだよ!
で…
カードは助かったけど他の情報は丸裸…
謝罪と賠償を請求するニダ!
今日はシナの日だから多めに見ようじゃないか
309 :
名無しさん@八周年:2008/04/07(月) 17:45:44 ID:0SfTn0CSO
なんかたった今さ音屋からメール来たんだけど、「お客様のほうでクレジットカード会社へご連絡する必要はありません」みたいな内容だった。
あほか
310 :
名無しさん@八周年:2008/04/07(月) 17:47:09 ID:BcY7cGU90
ここで安物のiPod用イヤフォン買ったのを
すっかり忘れて、他人事モードだった。
先日メールが来て青ざめた。
入会したのが2007年一月以前なのか微妙なんだよなぁ。
>>309 今日別件でクレジット会社に(三菱UFJニコス)電話した。
対応自体は相変わらずとても丁寧で的確だったが、
・なかなか電話がつながらない
・電話の奥から聞こえてくる音声がとても忙しそう
状況だった。
今回の件で、カード会社もあっぷあっぷなんではないかい?
でも、普通の神経をしていたら、連絡するだろうよ。
>>309 全登録者がカード再発行したらマズイとカード会社から要請受けている。
313 :
名無しさん@八周年:2008/04/07(月) 17:58:31 ID:pYsL+tet0
もう日本のネットの根幹部分で中国からのip弾けよ。
むこうもどうせ見れないんだからいいだろ?
まさかログインパスワードを平文で保存してたの?
316 :
名無しさん@八周年:2008/04/07(月) 18:04:04 ID:vgbNMblh0
まさかWindows鯖でサイト立ち上げてたの?
317 :
名無しさん@八周年:2008/04/07(月) 18:07:35 ID:D0HHUYwG0
>>307 なんで三菱UFJニコスは神対応なのに三菱UFJVISAは糞対応なんだろう?
SQLインジェクションって、何か未知の脆弱性を突かれたのか?
まさか単にエスケープしてなかっただけとか無いですよね。それなら完全に自業自得だ罠。
今回のようないい加減なセキュリティで防げたのに流出させられた悪質な個人情報流出は、
サウンドハウスからまともな謝罪・損害請求なされないようなら
集団訴訟でいいと思うんだが。
>>317 いちおう、書いといた方がいいかな?
私のはゴールドカードなのです。
電話したのは「ゴールドカードデスク」です。
でも、こんなときに、カード種別によって対応に差をだしてはいかんですな。
321 :
名無しさん@八周年:2008/04/07(月) 18:12:32 ID:Zhr1VF3y0
>>318 単なるプログラムミスというなら、Win鯖ばかりクラックされている理由がナゾ
322 :
名無しさん@八周年:2008/04/07(月) 18:14:03 ID:ke28ujb30
>>307 中華のSQLインジェクションは3月中旬からあちこちで騒がれてるよ
楽天もビジー状態だったしPeergGuardian(IPブロックソフト)のサイトすら攻撃対象
どこから漏れたのか特定は難しいね
323 :
名無しさん@八周年:2008/04/07(月) 18:14:14 ID:8Cxiz0O10
>>317 三菱に食われたから、しっかり対応してないとイビられるとか。
今更こんなメールがきやがった。
対応のろ過ぎ。
// 引用開始
2008年4月7日
お客様各位
平素は格別のご愛顧を賜り厚く御礼を申し上げます。
この度のお客様情報の流出、及び、度々のメール配信で大変ご迷惑を
おかけしております。
本日配信致しました情報流出に関するご案内の中に
「クレジットカードの登録をされたお客様で、上記流出の対象となる場合は、お手数
でもクレジットカード裏面に記載のある窓口へ連絡を取っていただき、カード会社の
指示に従い、ご対応いただくようお願い致します。」
と表記いたしましたが、クレジットカード会社側では、カードの不審な利用をモニタ
リングする等、不正使用を早期に発見できる体制を整えております。また、万が一、
本件に起因してお客様のカード情報が不正に使用され、被害が発生した場合には、お
客様にご負担をおかけすることのないように対応する旨を伺っておりますので、お客
様からクレジットカード会社へご連絡いただく必要はございません。
お客様には、多大なご心配とご迷惑をおかけしたことにつきまして、深くお詫び申し
上げます。今後ともお客様に安心してご利用いただけるサービスをお届けできるよ
う、全力をあげて取り組む所存でございます。
株式会社サウンドハウス
代表取締役社長 中 島 尚 彦
// 引用終了
さすが自称IT先進国(笑)
紙の国が無理してIT化(笑)なんかするからこうなるんだよ
326 :
名無しさん@八周年:2008/04/07(月) 18:20:20 ID:1BakllSj0
俺の作った商用サイト、SQLインジェクション対策してなかったww
今さら直せねぇww
俺がエスケープwww
327 :
名無しさん@八周年:2008/04/07(月) 18:20:55 ID:s5vt0Jkw0
Yahoo! BB顧客情報流出の集団訴訟で被害者勝ってるから
サウンドハウス訴えようじゃない。
329 :
名無しさん@八周年:2008/04/07(月) 18:23:43 ID:09eYk+340
つーか、去年サウンドハウスでゼンハイザーのヘッドフォン買ったな。
>>324のメール、うちにも来てたよ。
330 :
名無しさん@八周年:2008/04/07(月) 18:25:51 ID:UzQjVWoQO
サウンドハウスも中国にサイト落とされて客に訴えられて二重苦だな
331 :
名無しさん@八周年:2008/04/07(月) 18:28:26 ID:yXiLiroz0
>>330 MSに損害請求すりゃいいんじゃね? > サウンドハウス
332 :
名無しさん@八周年:2008/04/07(月) 18:39:42 ID:UB2sPhqQ0
不正利用の形跡がないから放置してたんだが、
>>1 > クレジットカード情報(会社名、カード番号、有効期限、カード名義)、
> ^^^^^^^^^^
俺が会員登録して買い物したのは去年の春先で、
その後ちょうど夏に有効期限切れで切り替わったんだった。
なのでセーフということらしい。やれやれ。
カード名義も、俺の名前は中国人たいてい誤字るんで
情報を元にカードを偽造されても大丈夫っぽい。
あー
代引きしか利用した事ないからどうでもいいや
334 :
名無しさん@八周年:2008/04/07(月) 18:43:59 ID:645lqYG/0
>>321 実はクラックしてる中国人が作ったサイトなんじゃね?どっかが中国に流した仕事で
335 :
名無しさん@八周年:2008/04/07(月) 18:44:14 ID:BdE2xjBF0
Winはバイナリすら一緒だから楽なんだよな。
こんなスレで昔の2chなら必ずあった
"漏れの肛門もインジェクションされそうです"
なんて書き込みが無いことに気づき
いまはもう2008年なんだとしみじみ思った
337 :
名無しさん@八周年:2008/04/07(月) 18:48:57 ID:iZPD9s3I0
長野の聖火リレーコースの道路に砂曼荼羅でチベット国旗を描こうぜ!!!
>>336 俺の車はインジェクション車。
PGM-FIだ。
>>338 スーパーカブもいまはキャブじゃないからな
ずいぶん前のPHPユーザー会の集まりに顔を出したらデブの人が
スピーチで得意げに教えてくれたんだっけ < SQLインジェクション
WEB関係のプログラマって結構難しいと思うんだけど、
開発単価が安いせいで、技術的にも微妙なの多いよな。
341 :
名無しさん@八周年:2008/04/07(月) 19:18:24 ID:3FzlWFLK0
NHKキタ━━━━━━(゚∀゚)━━━━━━ !!!!!
342 :
名無しさん@八周年:2008/04/07(月) 19:20:20 ID:Z5czHcDE0
漏れの肛門もSQLインジェクションされそうです
345 :
名無しさん@八周年:2008/04/07(月) 19:22:50 ID:jb80Jyxd0
あう
>>344 直腸までバッファオーバランさせてくれ。
348 :
名無しさん@八周年:2008/04/07(月) 19:24:57 ID:D0HHUYwG0
>>342 レベル低いやつが適当につくってもそれなりに動くものが作れちゃうからじゃねーか?
349 :
名無しさん@八周年:2008/04/07(月) 19:25:56 ID:BdE2xjBF0
ASPとかでパラメータとして使ってるとかなり楽に穴が空く。
350 :
名無しさん@八周年:2008/04/07(月) 19:26:27 ID:MfFHkBWQ0
http://secinfo.itnavi.net/cat5/sql/ 株式会社ラックの Japan Security Operation Center(JSOC)から、SQLインジェクション 緊急レポートがリリースされている。
2005年5月に起きた価格.com(カカクコム)不正アクセス事件の詳細は公表されていないが、
SQLインジェクションによる不正アクセスを受けていたのではないかといわれているし、
同時期に一時閉鎖した「OZmall」を運営するスターツ出版社は、この手法で不正アクセス被害に遭ったことを公表している
JSOCのSQLインジェクション 緊急レポートによると、2005年後半からSQLインジェクションの攻撃件数が激増していて、
中国からの攻撃が大部分を占めているという。
中国語のサイトでSQLインジェクション攻撃を実行するツールが多数配布されていることが、その傾向を増長しているようだ。
攻撃のターゲットは、ASP(Active Server Pages)を利用しているシステムが52%を占め、これはファイルの拡張子から
IIS と SQL Server の組み合わせを限定しやすいことと、攻撃ツールの多くがASPを対象としていることを指摘している。
詳しくはこちらの【SQLインジェクション緊急レポート】を見ていただきたい。
http://www.lac.co.jp/business/sns/intelligence/jsoc_report.html
351 :
名無しさん@八周年:2008/04/07(月) 19:26:42 ID:xwd7wOOX0
自前鯖かよ
352 :
名無しさん@八周年:2008/04/07(月) 19:29:55 ID:XK5RSozK0
>>348 >レベル低いやつが適当につくってもそれなりに動くものが作れちゃうからじゃねーか?
そういうWin環境でしか開発できないような低スキルのPG使ってシステムを安くあげても、
こういう事件があったら結局大損害だよな。。。
>>324のメールがウチにも届いたんだけど、要約するとカード会社には連絡するなってことだよね。
でもカード会社的には不正使用されてなければ連絡よこさないと思うんだけど……
情報は漏れたけど "まだ" 不正使用されてない場合はやっぱカード会社に確認するしかないんじゃないの?
今回対応しないで1年くらいたってみんな忘れたころに不正使用されたらきっと確認が遅れて使われまくる
気がする。
やっぱカード会社に確認は必要だ。そのためのサポートデスクでしょ。サウンドハウスが連絡しなくていいとか
いう立場じゃない。
354 :
名無しさん@八周年:2008/04/07(月) 19:32:15 ID:MzUwns1y0
FC2ブログがよく中華から攻撃されるそうなので気をつけろよ
閲覧しただけでパス抜きサイトに飛ばされたりする。
たっぷり地獄を味わえw
asp.netのSQLインジェクション対策なんて馬鹿でもできるだろ
どんな業者だよ
357 :
名無しさん@八周年:2008/04/07(月) 19:34:43 ID:HH7llB8G0
支那人にインターネット イコール 基地外に刃物
サウンドハウス潰れようがこんな阿呆なセキュリティで経営して個人情報を垂れ流したのだからしょうがないと思う
359 :
名無しさん@八周年:2008/04/07(月) 19:40:26 ID:DcjRTWD/O
マカフィのアンチウイルス使ってるけど、これも信用できないな。最悪だわ
360 :
名無しさん@八周年:2008/04/07(月) 19:42:51 ID:pmvELbJU0
サウンドハウスでカードで買い物したことあるけど…
幸か不幸か、今カード止められてるわwwwwwwって笑い事じゃないなJK
>>352 将来の大損害より目先の低コスト、てアホが多いから。
362 :
名無しさん@八周年:2008/04/07(月) 20:26:26 ID:GHQFNkGI0
昨日の外部からの不正アクセスってサウンドハウスだけじゃなく、
他のウェブサイトでも結構あったみたいだな。
363 :
名無しさん@八周年:2008/04/07(月) 20:32:20 ID:JPGxrgI60
>>362 うん、Windowsでサイト立ち上げてるところは
どこもガクブルなんじゃない?
364 :
名無しさん@八周年:2008/04/07(月) 20:32:50 ID:wMuggXNu0
NHKのニュースでは、「2007年以降に購入した人」と言って種。
会員登録じゃなく。
最終購入が2006年10月ならセーフ?
365 :
名無しさん@八周年:2008/04/07(月) 20:33:26 ID:WTGhlMBW0
おまえのは流出してないって書きわすれたとかいうメールがきたよ
366 :
名無しさん@八周年:2008/04/07(月) 20:36:52 ID:wMuggXNu0
>>365 うちにも来た。
結局、2007年以降に会員登録した人か、購入した人ってことなのかな。
1年以上買ってない人は上客とみなされず、DBの隅の方に追いやられてたんだろうかw
>>365 きたw
ホッとしたが、問題は昼のメールでカード債発行手続き済みな点wwww
流出はまあ、あってはならんけどよくある話だし仕方ねえと思ってたいたが、これはふざけんなwwwww
368 :
名無しさん@八周年:2008/04/07(月) 20:46:55 ID:wMuggXNu0
これでカード利用されてもこちらに支払義務は発生しないのだから、そうあせらなくても良かったのにw
Apacheで立ち上げればいいのに、、勇ましいし。
たぶん、2000年前後に登録して当時は代引き、
2,3ヶ月前に久しぶりに買った時はクレカな俺にも、流出してないよメールが来た
バインドしろよ・・・・・・
なんで直に組みたがる?
>>366 生きてる番号だけ取るために普通は日付指定したんじゃね?
全部読み出してると遅いし
>>372 なるほど。MTRが壊れたんだが、買わなくて正解だったよw
>>372 インジェクション対策もできないようなところがSQLの実行時間を監視してるか?
・・・・・・あ、そうか、標準のタイムアウトのままか。
何十秒だっけ。60秒?
>>368 今になってみればそうなるが、使用日が去年7月とモロかぶってるし
日曜に続いて2通目だからな。
おまけに2通目には
この度、弊社が運営するインターネットショッピングサイトの顧客データに外部から
の不正アクセスがあり、お預かりしておりましたお客様情報の一部が流出した可能性
が極めて高いことが、判明いたしました。
誠に遺憾ながら、お客様には多大なご迷惑、ご心配をおかけすることに至りましたこ
と、深くお詫び申し上げます。
とまで書いてるんだぜ?
確かにおれの情報とは明記されてないが、保険やなんやで面倒なことになる前に
とっとと手続きやっちまおうと思ったんだがな。
まさか、対象外であることを書き洩らしているとは、予想の斜め上だったわww
376 :
名無しさん@八周年:2008/04/07(月) 20:56:08 ID:7tGffv4P0
未だにメールが来ないな。一度しか使ってないけど。
その時は代引きだけど。
377 :
名無しさん@八周年:2008/04/07(月) 20:56:49 ID:ngVvQz890
378 :
名無しさん@八周年:2008/04/07(月) 20:56:54 ID:ZQv16xGG0
中国に流出しちゃったか。
一切手加減無しで限度額一杯まで使われるよ。
379 :
名無しさん@八周年:2008/04/07(月) 20:58:32 ID:Vpv8sTSI0
どうせオマエラの限度額なんて¥10万がせいぜいだろw
振り込むなのでセーフか一応
プリペアドステートメントつかえよ
SQLインジェクションでってどこが作ってたですか..
ありえない
>>375 その2通目ってヤツはうちには来てないのかな。
1通目(?)に「2007年以前〜」と書いてあったからそれで一応安心してたw
>>379 サウンドハウスで使ったカードは確か100万以上(実質無制限)だったと思ったw
>>382 自社(グループ会社)じゃなかったっけ?
掲示板「音響機器」の「SQLインジェクションについて」の後段読んでみ。笑えるから。
>また、サイバー攻撃の背景に潜むハッカー軍団の実態はそんなに甘くないと見ています。
お前が言うなって感じ。(笑)
386 :
名無しさん@八周年:2008/04/07(月) 21:12:59 ID:jvjOJraD0
>>385 >また、サイバー攻撃の背景に潜むハッカー軍団の実態はそんなに甘くないと見ています。
Win鯖なんかでテキトーにサイト立ち上げたお前らが一番甘いだろうw
387 :
名無しさん@八周年:2008/04/07(月) 21:13:44 ID:Vpv8sTSI0
>>384 限度額¥100万で実質無制限?
無い無いw
>>385 ありり、最低限これぐらいは出来てるよなと冗談でテストするぐらいですね
見に行ったらIISで運用してた、2003 serverか..
MSSQLってDB側ですら対策を実装してないんですか
DB構築屋もベンダーもオワットルorz..
>>384社会人二年目の俺ですら70万だというのに
どこの4流会社だよwww
今頃SQLインジェクション対策とってないなんて。
391 :
名無しさん@八周年:2008/04/07(月) 21:43:50 ID:0oy5UlTJ0
NHKでやってたな
今日からNHK見てクレジット屋に電話殺到したら
オペの姉ちゃんキレるかな
既にカード停止済みの俺は勝ち組。
今日流出対象外メールきたけど。
イン!ジェク!ション! イン!ジェク!ション!
仕事が減ったVB屋が大挙してASPサイトの仕事に乱入してるからな。
あいつらレベルが低すぎてVIEWSTATEとか無駄なパケットを全く気にせず放流するから困る。
ASPサイトはアクセスするのが怖いなぁw
振込み
偽名
偽生年月日
2006年頃登録
はダイジョブかな・・・
すぐ全登録削除しちゃったからかメールが一通も来ないが・・・
397 :
名無しさん@八周年:2008/04/07(月) 22:00:21 ID:xf3L3Qfv0
>>395 MS製品は低スキルPGの最後の砦だからなw
ログインしてクレジット番号変えようと思ったけど、
どこで変えるの?
399 :
名無しさん@八周年:2008/04/07(月) 22:02:58 ID:KEe2ZERvO
>>362-363 俺がよく見てるcarviewのホームページにも
不正アクセスによるウイルスサイトがなんちゃらがあって、
機能を一時停止させてたって謝罪文が掲載されてた。
一応ウイルススキャンを行って下さいってあったから一応今やってる最中。
NHKの解説では中国のサーバーを経由して
第三者(黒モヤ表示)が何かを行ったみたいだが、
ちょっとこの先が心配だ。
400 :
名無しさん@八周年:2008/04/07(月) 22:03:22 ID:8Cxiz0O10
VB屋ってエクセル屋でしょorz..
>>400 見に行ってないけど、音屋の中の人は知ってるんだろうか
404 :
名無しさん@八周年:2008/04/07(月) 22:17:12 ID:8Cxiz0O10
>>403 どうだろうか。
俺はたった今、出かけて帰ってきて、このスレ見て、そういえば、まだ検索してみてなかったなと、
百度で「soundhouse 黒客」(の簡体字)で検索したら出てきたんで書いた。
405 :
名無しさん@八周年:2008/04/07(月) 22:17:29 ID:KEe2ZERvO
アマゾンとかも不正侵入とかされてそうだな。
>>404 警察もまだ見つけてないんだろうな。
おまわりさーんw
408 :
名無しさん@八周年:2008/04/07(月) 22:30:00 ID:8Cxiz0O10
>>400 あ、いちおうこれを見て百度であちこち検索かける人がいたら注意です。
中国のサイトはアップデートしてないインターネットエクスプローラ(IE)では
見ないほうがいいっす。とにかくあちこちのサイトにいろいろ仕込まれてるから。
Firefoxも安全かどうかはわからないけど、IEよりはたぶん大丈夫・・・・かも。
409 :
名無しさん@八周年:2008/04/07(月) 22:30:06 ID:lUMbBq0NO
こういうのこそ通報してあげりゃいいのに
>>400 感謝嬢貰えるかもしれないぞ
>>408 もう見ちゃったんですが…
>>409 というかログで犯人は直ぐに分かると思われ
ネット喫茶とかだったら微妙かも
413 :
名無しさん@八周年:2008/04/07(月) 22:43:56 ID:GHQFNkGI0
414 :
名無しさん@八周年:2008/04/07(月) 22:44:04 ID:8Cxiz0O10
>>409 海外暮らしなんで貰いにいけないっす。
誰かに感謝状の授受権を譲渡しますので、どうぞ。
どっちにしても餃子みたいに中国の公安は捜査しないんじゃないかなと予想。
415 :
名無しさん@八周年:2008/04/07(月) 22:46:20 ID:8Cxiz0O10
明日あたり公安が
>>400のサイトを強制全削除して知らん振りとか、かなりありそう。
餃子の時も工場つぶして、従業員解雇してうやむやだったし。
416 :
名無しさん@八周年:2008/04/07(月) 22:47:21 ID:0oy5UlTJ0
>>400 怖いから見れないけどだれかちゃんと魚拓とっておいてくれ
あとあとの報道なんかでも使える
魚拓とっといたほうがいいかも。
418 :
名無しさん@八周年:2008/04/07(月) 22:49:03 ID:dennIy2K0
サウンドハウスで機材買ってる有名アーティストって沢山いるはず。
419 :
名無しさん@八周年:2008/04/07(月) 22:49:21 ID:z9jy0lpQ0
イーバンクには1万しか入れてないぜw
僕の肛門にもインジェクションされたようです
こんなの中国からのパケット遮断すりゃ終わる話じゃないのか?
422 :
名無しさん@八周年:2008/04/07(月) 22:55:51 ID:pfYOFlad0
俺、たった一回の利用で大当たり!
423 :
名無しさん@八周年:2008/04/07(月) 22:59:17 ID:GQx7tIFp0
そこら中でオリンピック開催してるんだなw
424 :
名無しさん@八周年:2008/04/07(月) 23:03:32 ID:ONMzKFFW0
建設費不足だからといってこれはやり杉
425 :
名無しさん@八周年:2008/04/07(月) 23:05:54 ID:BviR91sa0
SQLインジェクションは、作りこんだ奴の無知も責められるべきですな。
もちろん、犯罪犯す奴が一番悪いわけですが。
眼の前にぶらーんとお金がぶら下がってる状態なワケで。
426 :
名無しさん@八周年:2008/04/07(月) 23:06:44 ID:V7hFI2l40
SQLインジェクションのセキュリティホールを残した間抜けエンジニアワロス。
今回の件のシステム担当者はクビになったりすんのかな?
再就職先は無さそうだよな。
428 :
名無しさん@八周年:2008/04/07(月) 23:08:39 ID:KEe2ZERvO
サウンドハウス以外でもまだ見つかってないだけで、
服屋とか靴屋やCDショップのサイトでもすでにやられてるところもあるだろうな。
429 :
名無しさん@八周年:2008/04/07(月) 23:09:27 ID:KTzuL2cP0
SQLインジェクション攻撃...
って、おまい、基本中の基本だろ
だめだこりゃ
430 :
名無しさん@八周年:2008/04/07(月) 23:10:16 ID:OaAwzTM80
で、サウンドハウスはどんなワビを入れてくれるわけ?
このまま終わりじゃないよね。
431 :
名無しさん@八周年:2008/04/07(月) 23:11:58 ID:igMty6th0
432 :
名無しさん@八周年:2008/04/07(月) 23:18:22 ID:GFfvj1V10
登録してたメールアドレスは音屋以外で使わない方がいいのかな
いろんなサイトで同じパスワードやらアドレスを使ってたんだけど…
NGワード→@
435 :
名無しさん@八周年:2008/04/07(月) 23:24:40 ID:8Cxiz0O10
>>400にあげたブログの方を読んでるけど、
soundhouse.co.jpを例に NBSI3.0 Hack520 Professional版というクラック用
アプリを使用してクラックする方法を説明しているようだ。
>>427 全従業員が失職でしょ
流出以上に信頼を失ったのは大きい
現に販売一時中止もできないない資金繰りだから
安さに釣られて危険覚悟で買う奴がいても潰れる
437 :
名無しさん@八周年:2008/04/07(月) 23:26:15 ID:Q3VC5uDO0
>>429 今でこそ常識だけど5年くらい前には気にしてる奴なんてほとんどいなかったと思うぞ。
価格.comの騒ぎの後かなり話題になって警告されて多くのところが対応したと思うけど、
どちらかと言えば放置してたサウンドハウスの責任が大きい。
もっとも価格.comの一件より後に作られたシステムなら作った側の能力に問題ありだが。
438 :
名無しさん@八周年:2008/04/07(月) 23:30:32 ID:8Cxiz0O10
とりあえず、
>>400の下のサイトでjpドメインだけ検索してみた。やられたっぽい履歴一覧。
2008-02-24 [ロ黒]色ゞ深処 #yufuin.coara.or.jp/test.txt #
2008-02-24 [ロ黒]色ゞ深処 #www.soufusha.jp/test.txt #
#
2008-02-23 Mistakes #www.linux.or.jp/JF/JFdocs/hacker.txt #
2008-02-23 Mistakes #www.kms.ac.jp/~clinilab/person/ing/lib/ha/hacker.txt #
2008-02-18 電脳迷 #www.soundhouse.co.jp/jslib/asp1.asp #
2008-02-18 [ロ黒]色ゞ深処 #www.icnet.co.jp/ #
2008-01-31 紅蜘蛛 #www.graphk.co.jp/sts/redspider.htm #
2008-01-30 易献闊海 #001.shanbara.jp/jukujo/index.html #
2007-12-26 Ziv #tweb.omt.ne.jp/ #
2007-12-09 日[イ尓] #www.cognite.jp/up/img/moeup3183.phps #
2007-12-06 紅蜘蛛 #www.million-city.jp/uped/hongzz.php #
2007-12-05 日[イ尓] #diced.jp/~pawapolu/cgi-bin/up/img/129.html #
2007-09-04 相思的雨 #orange-army.ddo.jp #
2007-07-20 evbs #www.linux.or.jp/JF/JFdocs/hacker.txt #
2007-07-20 evbs #www.kms.ac.jp/~clinilab/person/ing/lib/ha/hacker.txt #
2007-07-06 城市游魂 #www.shoshagc.co.jp #
2007-04-24 巫卒 #www.jcc-net.co.jp/CN/newfile.asp #
2007-04-23 梦云 #www.pref.osaka.jp #
2006-12-26 d0n63r #www3.wind.ne.jp/habe/cgi-bin/trbbs/bbs/d0n63r.txt #
2006-08-31 銀色上帝 #www.izuhakone.co.jp/ #
2006-07-28 小鬼 #rogue.clique.jp/upload/dat/r1051.txt #
2006-07-27 水晶流星 #www.n11.jp/test.txt
2006-07-27 水晶流星 #www.realrock.co.jp/test.txt #
2006-05-20 余興 #www.eart.ne.jp #
439 :
名無しさん@八周年:2008/04/07(月) 23:34:14 ID:8Cxiz0O10
>>438の続き。
2006-04-02 WebShell #www.neosys.ne.jp/haigyo/hack.htm #
2006-03-24 馬駿 #www.chial.jp/fuck.htm #
2006-01-19 深白色 #shop.mado.ne.jp/ #
2006-01-18 海東青 #www.k-tg.co.jp/equip_e00.html #
2006-01-16 深白色 #www.cycletour.co.jp/pht.htm #
2006-01-16 深白色 #db.gpn.co.jp/kml.htm #
2006-01-16 深白色 #shiro.mado.ne.jp/pcz.htm #
2006-01-16 深白色 #www.entity.co.jp/mud.htm #
2006-01-16 深白色 #www.ybnet.jp/~ishigaki/chokaimachi.html #
2006-01-16 深白色 #mail.entity.co.jp/mud.htm #
2006-01-10 海東青 #www5.gpjco.jp/iisstart.asp #
2006-01-06 深白色 #www.venture.jp/ #
2006-01-06 深白色 #shop.venture.or.jp/ #
2006-01-06 深白色 #shop.venture.jp #
2006-01-06 netdevil #ecc.venture.jp/ #
2005-11-23 七七紅客技術聯盟 #www.fujioka.co.jp/index.asp #
2005-11-19 C.F.U #bousai.wiznet.co.jp/ #
>>434 やった奴のハンドルネームは「電脳迷」(パソコンおたく)。
2007年1月以降登録・カード使ってない人用のメールが今来た
パス同じの使ってるとこはなかったけどやな気分だなー
441 :
名無しさん@八周年:2008/04/07(月) 23:38:40 ID:Xr/XKM/E0
また三国人か
と言いたいがこういうのは間違いなくゾンビPC経由だから
中国人が犯人とは言えないんだよな
前の銀行サイト使ったフィッシング詐欺は
日本のゾンビPC使ったロシアマフィアの犯罪だったし
漏洩に遭った利用者だけどちょっとwktkstkt
443 :
名無しさん@八周年:2008/04/07(月) 23:40:09 ID:lLaICbRU0
>>400 すげー 阿D注入工具だって
注入かまさにインジェクションだw
今時SQLインジェクション・・・って思ったが、この前トレンドマイクロのサイトがやられたのもこれだし、
企業系でありながらほったらかしが多いってことなのか・・・・
中国からの相互アクセス禁止にしろよw
446 :
名無しさん@八周年:2008/04/07(月) 23:44:01 ID:hZAkoJoL0
>>434 誰かこの糞チャンコロを吊してはくれまいか
447 :
名無しさん@八周年:2008/04/07(月) 23:44:55 ID:lLaICbRU0
こ、これは!!
管理者権限のっとられて
vb.exe をすり替えられてるwwww
>>406 >4月23日に発生した不正アクセスによる障害により、代替ページで対応しておりましたが、
>5月9日付けで一部のページを除き復旧いたしました。<br> 利用者の皆様にご不便を
>おかけしましたことをお詫び申し上げます。
ソース内の表記。
2007-04-23 梦云
http://www.pref.osaka.jp 快照
時期も一致。
---
Microsoft Windows Server 2008 R2 [?豎? 5.2.3790]
(C) ?貶??? 2000-2008 Microsoft Corp.
C:>net user ???? ???? /add
??マ????????
C:>net localgroup administrators ???? /add
??マ????????
略
C:>format C:/q
略
---
こんなモノが表示されてたらしい。
449 :
名無しさん@八周年:2008/04/07(月) 23:47:22 ID:cAnB/Ou/0
Windows鯖、阿鼻叫喚の図ww
450 :
名無しさん@八周年:2008/04/07(月) 23:50:14 ID:WVy8okDX0
数年前親に頼んで親のクレジットカードで買ってもらったんだけど、
これって即親に伝えといた方がいいよね?
451 :
名無しさん@八周年:2008/04/07(月) 23:51:07 ID:eBRUzuxT0
中国のサイトって、トロイ仕込むようなのばっか。
中国人は犯罪者ばっかwww
452 :
名無しさん@八周年:2008/04/07(月) 23:52:13 ID:/gEOoq9S0
不法侵入強盗を生業とする国でオリンピックとかwwwwwwwwwwww
453 :
450:2008/04/07(月) 23:52:26 ID:WVy8okDX0
あ、2007年1月1日〜2008年3月22日までの間に新規登録した場合のみなのか、、
自己解決しましたすいません。
454 :
名無しさん@八周年:2008/04/07(月) 23:54:51 ID:lBpaBSfM0
メールきた
もうここでは二度と買わない
----------------------
2008年4月7日
お客様各位
平素は格別のご愛顧を賜り厚く御礼を申し上げます。
この度、弊社が運営するインターネットショッピングサイトの顧客データに外部から
の不正アクセスがあり、お預かりしておりましたお客様情報の一部が流出した可能性
が極めて高いことが、判明いたしました。
誠に遺憾ながら、お客様には多大なご迷惑、ご心配をおかけすることに至りましたこ
と、深くお詫び申し上げます。
お客様が弊社に登録している情報の中には、流出した項目に含まれている
クレジットカード情報が無い為、カード情報に関する問題は一切ありません。
但し、・お名前 ・フリガナ ・性別 ・生年月日 ・ログイン用メールアドレス
・ログイン用パスワード
につきましては、大変申し訳ございませんが、流出の対象となります。
(以下省略)
>>400 他スレにも書いたけど、
>>400を、被害者のためにも、
サウンドハウスやサウンドハウスのページのセキュリティー担当のマカフィーにも送った方がいいんじゃない?
>>453 いや、漏れてなくても借りたからにはあったことは伝えるべきだろ。アフォかw
>>78 まあ、事実としてコミュニケーション能力は必要だけどな
大規模システムだと尚更
そうでないと、効率が悪くなるどころか(ry
無論それだけもアレだが
458 :
名無しさん@八周年:2008/04/08(火) 00:07:35 ID:vknk5Nsd0
電話が漏れなかったらしいのはせめてもの救い
459 :
名無しさん@八周年:2008/04/08(火) 00:11:45 ID:W434ZD/s0
>>458 メアドとパスワード漏れてるので、ログインすれば
電話番号ふくめ登録情報は総て見れるんだが?
犯人がキミのアカウントでログインしなかったと断言出来るか
メールが来た
461 :
名無しさん@八周年:2008/04/08(火) 00:12:08 ID:VETH43ar0
>>454 俺も同じ内容のメールが来てた。
「メアドや名前は出たかもしれないけど、クレカ情報やら住所なんか出て無いよ。
たいしたこと無くてよかったな。」みたいな内容…ふざけんなよな。
もちろんクレカ情報なんかシャレにならないけど、名前程度ならいいってわけでもないだろ。
とにかく、もう俺もここでは買えない、怖い。
多少高くても他で買う。
SQLインジェクションって・・・・・・どんな酷いプログラムだったんだw
464 :
名無しさん@八周年:2008/04/08(火) 00:14:41 ID:JBefxmZ60
再発行したけどカード番号って何桁くらい変わるんだ?
465 :
名無しさん@八周年:2008/04/08(火) 00:15:20 ID:qIDQyyof0
中国人や文系が穴を作りまくる。
467 :
名無しさん@八周年:2008/04/08(火) 00:16:21 ID:wox6X9AV0
もう中国許すなよ。あいつら国を挙げて犯罪者。
見つけ次第、殺せばいい。
468 :
名無しさん@八周年:2008/04/08(火) 00:16:32 ID:WPYlWrxx0
こうゆうシステムのパスワードって不可逆暗号でBDに保存されてるんでしょ?
でもたまに、「パスワードを忘れた際は、こちらのフォームよりお問い合わせ下さい」みたいなシステムもあるけど、
そうゆうのってどうしてるんだ?
メールきた
2008年4月7日
お客様各位
平素は格別のご愛顧を賜り厚く御礼を申し上げます。
この度は、お客様情報の流出、及び度々のメール配信で大変ご迷惑をおかけしております。
お客様が弊社にご登録いただいている情報のうち、流出したと思われる項目は以下になります。
・お名前 ・フリガナ ・性別 ・生年月日・ログイン用メールアドレス ・ログイン用パスワード
ご住所、お電話番号が流出した形跡はございませんでした。
クレジットカードに関しては登録が無い為、カード情報に関する問題は一切ありません。
誠に申し訳ございませんでした。
ご不明な点、ご心配な点がございましたら、弊社までご連絡をいただければ幸いです。
今後ともよろしくお願い致します。
バインドキボンヌ
SQLインジェクション対策は確かに基礎中の基礎なんだが、日本語みたいな2byte圏の言語を扱う場合、そんな単純な話ではないよ。
今回みたいに特定の鯖構成の複数のサイトがクラックされてる場合、例えばエスケープ処理を行う関数に特定の文字列の組み合わせで発生するバグがあって、エスケープ処理行ってるつもりでも、出来てなかったりね
例えばMySQLのエスケープ処理用の関数は何回も修正を重ねてる(その中には日本語特有のものもある)けど、そんなの知らずに使ってる人の方が多いでしょ
472 :
名無しさん@八周年:2008/04/08(火) 00:19:05 ID:4GusRJ6l0
そORマッピングとは言わなくとも、変数バインドくらいはしようよ・・・
474 :
名無しさん@八周年:2008/04/08(火) 00:20:11 ID:Q6lMqvmS0
>>469と同じ内容のメールが来た
これはアウトってことか…orz
>>468 B、ブルーレイディスク・・・?
うちは趣味サイトだけどmd5化して保存、忘れたときは仮パスワードを発行してるな
集団訴訟でしょ
477 :
名無しさん@八周年:2008/04/08(火) 00:22:22 ID:jFEM5FND0
>>400の下のデータベースサイトは各クラッカーが集まるサイトや掲示板につながるリンクが左下にある。
一部の掲示板を見ると、ユーザ登録するか、仲間になるかどちらかで、
詳細な書き込みを見れると思われる。
10000以上の書き込みがある板もあるので、結構人が集まってそう。
中国の公安が本気になれば一網打尽なんだけど・・・
無理でしょうね。
>>455 その辺、お任せします。
478 :
名無しさん@八周年:2008/04/08(火) 00:22:29 ID:xc2nbYIo0
一昨日問い合わせメール送った返事こないんだけど放置かな
479 :
名無しさん@八周年:2008/04/08(火) 00:24:11 ID:WPYlWrxx0
>>475 間違えた、DBだw
じゃああれか、たまに直で登録してあるパスワードが送られてくるシステムがあるけど、
本当は良くないんだ(;´Д`)
480 :
名無しさん@八周年:2008/04/08(火) 00:27:18 ID:TyAE/niU0
'とかの記号を全角に変換すればいいのだろ?
違うのか?インチキSEやってる俺は、その程度くらいしか
してこなかったぞ?
>>468 可逆性の暗号化処理をしている場合、何らかをキーとして暗号化・複号化してる
同じパスワードを再発行できるメリットはあるが、複号用の処理がバレたら終わり
不可逆性の暗号化の場合、当たり前だけど同じパスワードを再発行するのは不可能なので、新しいパスワードを再発行して、それをユーザー用の新パスワードとして設定し、新パスワードをユーザーに通知する
482 :
名無しさん@八周年:2008/04/08(火) 00:30:39 ID:4GusRJ6l0
>>480 それよりはSQLのバインド変数を使うほうが手っ取り早い。
まあ、DBのバインド変数ロジックがバグってる場合も無い訳では無いけど。
SQL言語をいつまで使い続けるんだろうな。
>>479 色々な意味で良くないな。
・可逆の文字列で(もしくはそのまま)保存している
・ネットワーク上でメールを盗聴されることを考えていない
・自分のPCやWebメール上にパスワードの文字列が残ること自体良くない。
485 :
名無しさん@八周年:2008/04/08(火) 00:35:12 ID:WPYlWrxx0
>>481 なるほど。
新パスワードを発行して、それでもしそのシステムがパスワードを自由に変更可能なシステムなら
その新パスワードでログインし、新たにパスワードを設定することができるって訳か。
ありがとう。
勉強になった。
486 :
名無しさん@八周年:2008/04/08(火) 00:38:10 ID:lHgFxHUF0
このお知らせの宛先となっているお客様につきましては、今回流出した情報の
対象者ではないことを第三者機関による調査により確認しておりますので、
ご安心ください。
↑
サウンドハウスからこんな内容のお知らせメールが来た。
いい加減かと思ったら結構ちゃんと調査してくれてたみたい。
とりあえずこれで安心した。
安くて良いお店だなと思ってたけど、状況が落ち着くまで2年間くらい買わないで様子見てみようと思う。
.htaccessで.cnを弾いとけばおk?
488 :
名無しさん@八周年:2008/04/08(火) 00:39:04 ID:VrsWuS+k0
>>464 場合によっちゃ下4桁しか変わらないこともある
490 :
名無しさん@八周年:2008/04/08(火) 00:42:38 ID:4GusRJ6l0
491 :
名無しさん@八周年:2008/04/08(火) 00:42:58 ID:jFEM5FND0
サウンドハウスの場合、クラック方法がブログに載せられたのが
>>400にもあるように
2006年8月24日になっているので、それ以前にクラックされている可能性が高い。
といことは情報漏れもそれ以前からあった可能性があるということ。
中国のネットで公開されていた情報なんでクラックした本人や手法を解説している奴らが
実際にカード番号まで盗んで使っていたかは微妙な感じ。
やっていたとしてもバレないようにちょっとずつやってたのが、マフィアかなんかが
盗んだ情報で一斉に大量不正使用してバレたって気もする。
情報公開されてから、話が大きくなるまで大分時間がかかってるんで(1年半?)。
そうなると本当にカードを使った奴らを捕まえるのは大変そう。
日本が捜査を頼んでもやらないだろうし、日本の外交が弱いのがこういうのでも利いてきてる・・・
492 :
名無しさん@八周年:2008/04/08(火) 00:44:05 ID:+Tpm8UHu0
今時、SQLインジェクションの穴丸出しサーバが存在していることが驚きだな。
ってか、公開サーバからDBにSQL丸投げてる時点で阿呆だろ。
そして、DBから外部サーバにデータを通す設定になっているのが信じられん。
簡単に言えば、セキュリティーなんて糞食らえというセキュリティーポリシーだった訳だな。
こっちは犯罪組織に悪用されるリスク背負わされた上
カード変更、引き落とし登録カード再度設定等
無駄な時間・手続き・不便をサウンドハウスが
安易なセキュリティしか施さなかった為強いられている。
ごめんで済んだら警察要らない
2004年頃に大手派遣会社の多くがSQLインジェクションで情報を
抜かれたという噂がある。(なかなか警察に届けずに、独自捜査
していたという噂もあった。)
>>400 素人なんで怖くて踏めんが、
これ読めば音屋のシステムにどんな脆弱性があったのか
具体的にわかるってことかね?
さすがにDBの個人情報の管理状況までは載ってないかな
496 :
名無しさん@八周年:2008/04/08(火) 01:07:22 ID:+AlZrGIF0
>>495 3月の時点で、もしブログと同様の状態だったら
サーバ毎バックアップ取れるぞw って位の惨状だよorz
世の中にクッキーを必需とするサイトが多すぎる
ECサイトは食ってはいかんと思うな
クッキーはoffにしたいんだけど、現状何かと不便だよね
497 :
名無しさん@八周年:2008/04/08(火) 01:09:21 ID:H9AxWurN0
もはやカオス
498 :
名無しさん@八周年:2008/04/08(火) 01:13:23 ID:jFEM5FND0
499 :
名無しさん@八周年:2008/04/08(火) 01:16:21 ID:cjMUDFwf0
こういうのって訴訟しても慰謝料は微々たるもの?
不特定多数の人に名前や生年月日等まで知られて
何に利用されるか分からない不安
他の支払いにもカード利用してるから
全部にいちいち手続きし直さなきゃならない手間
なんなのこれ・・・
こんなショボいものを使ってた企業の責任は?
法整備されてないの?
>>437 kakakuもゴミだっただけでしょう
その程度みんな知ってたし知らなかったのはsfaすら見ていなかったあなただけ..
来たメールが偽者の可能性も排除出来ない。
家具屋(ファニチャーハウス)の方はどうなのよ?
そっちのもデータベース共通だろ?
はやく
>>400を音屋とマカフィーと警察に!
だれかはやく!
SQLの問題じゃなくてWeb上のフォームから入力されたデータを
ちゃんと精査しないのが原因。例えばIDやパスは英数字n桁までとか、
しっかりパターンマッチしておけば汚染されたデータで穴を突かれない。
すべてのフォームデータを厳密にチェックしないとSQL以外でも穴ができる。
例えば read.cgi?page=1207525293 で、ファイル 1207525293.dat を
読み込んで表示する時、pageが英数字かどうかチェックしてなかったら
perlのopen関数などでは任意のコマンドを実行されたりする。
aspが狙われるのは社内システム用のフォームとWebフォームを
同じような感覚で作って、フォームデータの精査をしないためだろう。
505 :
名無しさん@八周年:2008/04/08(火) 01:46:06 ID:mWSOy5+P0
↓高木浩光がサウンドハウスを貶す一言
サウンドハウスとツーハンドソードは似ている
507 :
名無しさん@八周年:2008/04/08(火) 02:06:25 ID:1FBEzA1IO
さっきサウンドハウスから
「クレジットカードに関しては登録が無い為、カード情報に関する問題は一切ありません。」
って来たが・・・・
うーむ3/1に新規登録してカードで買い物してるし。
昼にカード会社に電話したら該当だって言われて再交付したんだよな。
嘘くせー
510 :
名無しさん@八周年:2008/04/08(火) 02:15:25 ID:cjMUDFwf0
>>580 サウンドハウスのページの会員登録には、
カード番号を登録する欄は無い。
住所や氏名やメアドは登録するけれど、カード番号は会員登録には関係ない。
で、買い物をするときに、カード番号を手入力する方式。
ただし、オプション的扱いで、次回からの買い物を便利にするために、カード番号を記憶することはできた。
>>508はカード番号の記憶をさせなかったんではないか?
>>511 納得。
カード番号は記憶させなかった。
まぁ既に再交付してしまったので各引き落としの手続きが('A`)
513 :
名無しさん@八周年:2008/04/08(火) 02:35:31 ID:EwcJeTsS0
>>494 すげー気になる・・・
派遣会社のDBに入ってるデータって、
ID,名前、電話、住所、生年月日、学歴、資格、スキル、職歴、派遣歴、時給、労働時間、備考
とかかな?正規化してないけど
>>513 そんな情報、外部からの不正アクセス以前に内部から流出しまくってるでしょう。
515 :
名無しさん@八周年:2008/04/08(火) 02:42:56 ID:mWSOy5+P0
元は同一かも知れんけど不正アクセスした奴と
オンラインゲームで決済した奴と2種類あるんじゃないの?
警察を動かせば決済した奴のプロバとかポイント流した先とか
追っかけれるんじゃ?
3月中旬の時点では俺の一件だけで警察は動かせんみたいな事を
カード会社は言ってたけどここまできたらできるよね?
>>504 昨日メール来てパス変えに行ったんだけど、10桁までって書いてあるのに
11桁入力したら注意画面出ないでそのまま11桁のパス受け付けたから
なんか不安になって登録情報全部消したよ。
パスワードリセットさえ出来ない
メアドが複数登録されてるってさ。
もー漏れまくりックスですか
519 :
名無しさん@八周年:2008/04/08(火) 08:08:24 ID:9/OF1nuAO
技術者を正規雇用せず目先の利益に捕われ
また下請け下請けの構造がこういう結果をもたらしている。
通常、こんなミスは考えられない。ましてプロだろ。
個人情報の流出/対象のお客様について サウンドハウス
お客様が弊社にご登録いただいている情報のうち、流出したと思われる項目は以下になります。
・お名前 ・フリガナ ・性別 ・生年月日
・ログイン用メールアドレス ・ログイン用パスワード
ご住所、お電話番号が流出した形跡はございませんでした。
クレジットカードに関しては登録が無い為、カード情報に関する問題は一切ありません。
クレカで買ったんだが本当に無問題?
521 :
名無しさん@八周年:2008/04/08(火) 09:40:18 ID:U8+R0Csx0
>>520 その情報を元に稼ぐには、非効率だが
対個人で嫌がらせをするには十分な流出内容w
>>521 イヤホン買ったのだがバイブとかじゃなくて良かったよ
523 :
名無しさん@八周年:2008/04/08(火) 09:47:12 ID:gFqwp/BO0
まーいつかどこかでこういう事が起きるって思ってたから
別にショックってことはないな。
情報漏れたかもしらんけどカードの利用内容は毎月確認してるし。
524 :
名無しさん@八周年:2008/04/08(火) 09:56:06 ID:shm89Ftw0
さんざん既出で安心したが
いまどきSQLインジェクションで流出てw
どんだけシロウトだよ
全く同情に値しない
SBのはクレカ洩れてないから。
実質日本初の大惨事でしょコレw
528 :
名無しさん@八周年:2008/04/08(火) 10:53:34 ID:qTKfN9eM0
>>524 今時というがお前は知識が浅いな。
今は件数は数年前の数千倍だ。
ド素人で無いトレンドマイクロもやられてる。甘すぎだ。
529 :
名無しさん@八周年:2008/04/08(火) 10:55:25 ID:s4ibp/lT0
web系は、なんちゃってプログラマが多いからな
530 :
名無しさん@八周年:2008/04/08(火) 10:56:02 ID:n+nbiqIU0
ゲーム系ほどじゃないがな
531 :
名無しさん@八周年:2008/04/08(火) 11:01:33 ID:dSN2eEth0
これで 被害国は俺ら(中国)だって言ってのけるんだから、民度低すぎるわな。
それとも中国の支配力が低下しちゃってるのかい?
532 :
名無しさん@八周年:2008/04/08(火) 11:04:12 ID:fXM/IN320
鹿せんべい(゚д゚)ウマー
ええ、自分のとこにも名前と住所漏れたってメール来たよ(´・ω・`)
銀行振り込みだからクレカ情報は登録してなくてよかったけど
最近PS3でも情報漏えいあったし流行ってんのか・・・
529さんがいってる通りWEBアプリは危険がいっぱいです。
一部には安い韓国人や中国人に○投げのとこもあります。
あやしいと思ったら使わないことをオススメします。
素人なんでアプリとかプログラムとかわからんけど、何故か会社見る目はあるんで、
危ないと思ってるところは安くても避けるようにするわ。
536 :
名無しさん@八周年:2008/04/08(火) 11:16:45 ID:7XbJH3ok0
IIS + SQL の ASP 実装のECサイでカードを使うのは危険
これが、現時点での常識となりましたorz
それでもHackerSafeは貼ってあるのなw
538 :
名無しさん@八周年:2008/04/08(火) 11:23:16 ID:MTcfFU/h0
最近やたらとSQLインジェクションによる被害が多いな。
てか、日本のECサイトはセキュリティホールが多すぎ。
amazonでも、クロスサイトスプリティングが可能なことが判明したし。
クレジットカード番号だけは怖くて登録できない。
あっちのニュー速はdat落ちしちゃったな
541 :
名無しさん@八周年:2008/04/08(火) 11:44:14 ID:R8xcc0id0
543 :
名無しさん@八周年:2008/04/08(火) 11:58:13 ID:Cc6L9zkxO
漏れ今カード会社に連絡して確認してもらったけど
漏れの名前はリストに無かったって。一安心だわ(-。-)y-~
544 :
名無しさん@八周年:2008/04/08(火) 12:09:03 ID:EhwYfQyl0
>>543 っか、犯人はSQL注入で鯖の管理者権限のっとってるんだぞw
なんで、漏れて無いと断言出来るのか謎
クレカのデータ流出は無かったんじゃないの?
そんなメールが来てましたが
546 :
名無しさん@八周年:2008/04/08(火) 12:15:32 ID:R8xcc0id0
∩
| |
ハ
/ ヽ
/(´・ω・`)
>>543に注入してもいいですか?
|(ノ 浣 |つ
| 腸 |
゙:、..,_,,.ノ
U U
547 :
名無しさん@八周年:2008/04/08(火) 12:23:14 ID:sQHhjB/R0
金だけでなく個人情報がもし中共政府に握られてしまったとしたら
日本の音楽関係者はもうビョークみたいな事は絶対にできなくなるな
脅しどころかヒットマンさえ派遣可能だもん、こんなの
俺が作ったシステムSQLインジェクション未対策w
完全イントラシステム&社内で抜けれても問題ないデータだからいいかって感じ。
外向けはコワイねw
>>522 音屋でバイブを売ってるとは知らなかった
>>545 名義、番号、有効期限まで漏れてるってメチャクチャ書いてるよ。
この3つがわかればネットじゃ買い物し放題だし止めないとえらいことになるよ。
552 :
名無しさん@八周年:2008/04/08(火) 13:19:29 ID:olOxxGF90
リアルにガンホーで10万も不正使用されてしまいましたが、それが何か?
553 :
名無しさん@八周年:2008/04/08(火) 13:23:31 ID:20i5fLuD0
SQLってこれだろ?
select * from 日本 where 新聞社=売国新聞;
1件
朝日新聞
554 :
名無しさん@八周年:2008/04/08(火) 13:26:57 ID:nO6br+dZ0
銀行系カードだったので今日銀行の窓口に再発行しに行ったら
俺の情報言う前に
「サウンドハウス側から再発行しなくて平気という連絡が来ていますが」
みたいな事言われました。
どういうこと?ww
カード会社に再発行の手間の迷惑掛けるぐらいなら
情報漏らした客相手に
「金を使われた場合は保証するので、それ以外の情報漏れまくりですが、何も被害はありません、ご安心下さい^^」
って言っといた方がいいや って判断なんですか?ww
音屋は被害者意識強すぎて、加害者って自覚ねーんじゃねえのか・・・
カードナンバーなんかは暗号化されて保存されてると思ってた。
556 :
名無しさん@八周年:2008/04/08(火) 13:32:01 ID:l/XzJOIR0
SQLインジェクション攻撃って使い古された攻撃なのに、未だにひっかかるんか。
マカフィー糞だな。
未経験者歓迎でとにかく動くコードが出てくればOKで
作ってるんだから仕方ないわな。
'ichijiku=ichijiku'
∩
| |
ハ
/ ヽ
/(´・ω・`)
|(ノ 浣 |つ
| 腸 |
゙:、..,_,,.ノ
U U
559 :
名無しさん@八周年:2008/04/08(火) 15:09:42 ID:KbfXKs5K0
>>438 >>439 サウンドハウス以外の他の会社は、対策しているのかな。
それとも未だに気付いていないとか?
>>547 ああ、よく考えたらプロのミュージシャンの
個人情報も腐るほど含まれてるだろうな
これ気づかれたら別の価値が出てくるね
561 :
名無しさん@八周年:2008/04/08(火) 15:39:59 ID:vrzmC1Dj0
>>560 プロなら大抵は事務所なりスタジオ経由で頼むんじゃないか?
宅配便の兄ちゃんから情報漏えいする可能性のほうがでかそうだし
562 :
名無しさん@八周年:2008/04/08(火) 15:40:58 ID:NRTSMq/p0
中国からのアクセスを遮断しろよ
チェック甘いよな。フォームデータの処理もテストもさ。
下請け開発やらせたとしてもテストは立ち会ってやれよな。
>>561 まあさすがにそのレベルまでいくと未知の世界だけど・・・
アーティスト・特にピンの歌手なんかは
一切楽器や機材なんて買わない、なんて人もいるだろうし
でも、曲を作る人、楽器を演奏する人なら
何かしらお世話になってることは多いと思うよ
安いだけじゃなく、「このパーツが2日以内に必要!」ってなった時
ここしか選択肢が無いことがあるからね
565 :
南米院 ◆qZn4PpFR5Y :2008/04/08(火) 15:56:00 ID:8SHgfbj90
おい〜。ギターの部品とか買ったよサウンドハウスで。qqqq
サウンドハウスのサイトの左のほうにいっぱい認証マーク付いてるけどなんか空しいね
最近流出騒ぎ起こしてる事件は皆WindowsのSQLサーバー使っているのに、ニュース記事の中でWindowsとかSQLサーバーとかに一切触れられてないのは箝口令でも出てるの?
一昔ならわかるが、未だに外部からSQLサーバーに接続できるとか、アプリのバグでSQL実行できちゃうとか、不正アクセスというよりそれ以前の問題。偽造カードが出回るのは暫くした後らしいけど、出回った
全カードの使用停止&再発行したんだろうか?
568 :
名無しさん@八周年:2008/04/08(火) 16:03:09 ID:nO6br+dZ0
>>564 安心しろお前ら。
日経新聞に出てたが
ここの社長が、情報流出による客の負担が出ないようにしてくれるらしい。
直接使用による金銭被害以外はなんら客の負担にならないと考えているのか
それとも、情報流出に対してもなんらかの対策してくれるのかはわからんが。
まぁ、メールで「使われたら補償するから“安心してください”」とか言うぐらいだから
クレカ以外の情報については、厳重に管理するべき個人情報だっていう意識は無いのかもな・・・
まぁ、サウンドハウスからすればクレカ情報も一緒に流出してよかったね
クレカ情報が流出してなかったら
「危うくクレカ情報が流出しそうでしたが、名前やメアドやパスワードだけしか流出してませんので安心してください」
なんて発表して、叩かれそうだしな。
中国からのアタックって結構あるんだよな
恐ろしい
.NETとSQL Serverつかえば@パラメータプログラミングで自動的に予約語をリプレイスしてくれるんだが
UNIXだのリナックスだのJAVAとかそっちを使ってることにプライドを持っちゃってるプログラマーは
.NETの恩恵を受けられてないからね。
572 :
名無しさん@八周年:2008/04/08(火) 16:21:13 ID:gGkVIXhC0
実際ASPの開発環境に慣れたらJSPやらPHPなんてバカらしくてやってられないからな
エディタで書いてIEで確認とか10年前ですか?って
>>566 ベリサインのマークも誇らしく、 未だに絶賛営業中ですね。
あぁ、むなしい(T_T)。
I 一日
I 一回
S 再起動
>>444 ほったらかしが多いというか、対策したつもりで穴が残ってた、てパターンだろ。
SQLインジェクション対策は口で言うほど簡単ではない。
中国から日本国内へのアクセスを一切禁止すればいいのに
なんか流出事件の状況を伝えるメールが途絶えてるんだが。
しっかりしろよ音屋。(まあ、今回ので潰れてもしょうがないぐらい駄目駄目そうなのはよ〜くわかったが・・・)
>>567 こういう知ったか書いてる奴がいる限りこの手の事件はなくならないだろうな。
579 :
名無しさん@八周年:2008/04/08(火) 16:44:40 ID:nO6br+dZ0
>>577 俺も1通しか来てないw
なめてんのかw
基本的な対策で防げるのに
1通も来てないし。毎月買っているのに。ナンダカナ。
582 :
名無しさん@八周年:2008/04/08(火) 16:52:51 ID:nO6br+dZ0
>>581 人によって送ったり送らなかったりする差はなんなんだw
>>551 よく読んだら俺はクレカの登録してなかったみたいだ
584 :
名無しさん@八周年:2008/04/08(火) 16:58:22 ID:WhzACGYa0
>>575 プリペアドステートメントとサニタイジングだけじゃだめなの?
586 :
名無しさん@八周年:2008/04/08(火) 17:11:14 ID:fQTPPB3s0
587 :
名無しさん@八周年:2008/04/08(火) 17:11:56 ID:Y4HLyrhG0
支那畜は市ねよ
あとデータの管理に関しては銀行やなんかは厳しいけど
一部の企業はいい加減なところはいっぱいあるから
そういったとこからはネット経由じゃなくても
ソーシャルハッキングで盗まれ照ることも多いから
>>584 「プリペアドステートメントとサニタイジングだけ」
と口で言うだけなら44バイトで済んじゃうけどな。
実装していくうちにプリペアドステートメントが使いにくいシーンがでてきたり、
DBによって(あるいはバージョンの違いによってさえ)実装が違うために特別な
対策が必要だったり(仕事の上ではいつも自分が最善と思うものばかりは使え
ない・・・客の指定したDBサーバやバージョンや言語を使わなければならなかっ
たりすることも多いわけで)。サニタイジングにしたってダブルバイト系では文字
コードの問題があったり・・・
だから口で言うほど簡単ではないと言ったのだが。
もちろん上記すべてを厳密に精査すれば100%安全なサイトを作ることは可能。
だが100%バグのないプログラムを納期を守りながら作ることがどんなに難しい
ことかもおそらく皆さんご存知であろう。
まあだからといってサウンドハウスに同情の余地はまったく無いがな。
590 :
名無しさん@八周年:2008/04/08(火) 17:23:07 ID:gGkVIXhC0
そもそもサーバの管理運用に派遣とか使ってる会社も結構あるし
個人情報なんて盗み放題なんだよな実際
>>588>>590 情報流出のほとんどは内部の人間によるものだからな。
しかもローテク。
未だにユーザ名とパスワードをポストイットでモニタに貼り付けてる会社のなんと多いことか!
592 :
名無しさん@八周年:2008/04/08(火) 17:26:57 ID:4hc7gUuL0
>>586 今どきWindows鯖使ってる時点で、やってくださいって言ってるようなもんだからな。。。
593 :
名無しさん@八周年:2008/04/08(火) 17:28:43 ID:mg73r69z0
ソフトを外注する時点でソーシャルクロスサイトスクリプティングが発生してるんだよ。
594 :
名無しさん@八周年:2008/04/08(火) 17:29:56 ID:nO6br+dZ0
おまえら
対策難しい難しい言ってるけど
パスワード忘れたボタン押せば
登録したパスをメアド宛で教えてくれる程度のセキュリティーなんだぜ
>>594 サウンドハウスのサイトのこと?
それだったらパスワードが暗号化されてないということだな
596 :
名無しさん@八周年:2008/04/08(火) 17:36:33 ID:s4ibp/lT0
Win鯖にしろ ASPにしろ、敷居が低いというメリットがまんまデメリットに
なっちゃってる感じだな。
孫受けの孫受けの孫受けで知らん間に中華に発注してたりするシナ
頭イタス
598 :
名無しさん@八周年:2008/04/08(火) 17:37:19 ID:nO6br+dZ0
>>595 うん、サウンドハウスのサイト
まぁ良くて可逆暗号。
> まあだからといってサウンドハウスに同情の余地はまったく無いがな。
なんかこの文章何度も見るな
Win+SQLサーバが一番問題なのは中華ではユーザが圧倒的に多い点ww
もちろん99%が不正使用(海賊版)
中華国内ではクラックが日常茶飯事、これは民族性の問題
みんなゲームの経験値を上げる気分で暇つぶしに気軽にやってる
暇はあるけど、金がないやつら
日本でも、昔、ゲームのプロテクト外しが流行ったことあったろ
あれを暇を10倍、手持ちの金がないのを1/10にした悪質度100倍
ゲームだから攻略ツールも多数あるwww
601 :
名無しさん@八周年:2008/04/08(火) 17:51:04 ID:o1Q6Zyxa0
「これはわが国を貶めようとするチベット分離主義者らの犯行だ」
とか言ってくれそうだな。
602 :
名無しさん@八周年:2008/04/08(火) 17:56:13 ID:nO6br+dZ0
>>600 ハッキング方法見つけたら1000ガバス
みたいな雑誌とかねーだろうな・・・
>>594 正直その手の企業が多くて困る
クレカ承認は別になってることが多くカードの危険は少ないが、
個人情報は漏れ放題。場合寄ってはシロートにも閲覧改竄される。
とある企業が俺を含めユーザーから酷く怒られたことがあったな。
それが今では株式公開してるけどw
やっぱネット決済はクレカ会社のページで承認しないと怖いね。
604 :
名無しさん@八周年:2008/04/08(火) 18:07:29 ID:Cielo6Ei0
中国からのポートスキャンなんて個人のPCでも1日のうちにしょっちゅうあるよ。
ノイズだという話もあるがそれにしては中国からばっかり。
605 :
名無しさん@八周年:2008/04/08(火) 18:10:29 ID:nO6br+dZ0
>>603 やっぱ個人情報保護って、よっぽどの企業でもない限り甘く考えてるんだろうな・・・
606 :
名無しさん@八周年:2008/04/08(火) 18:12:12 ID:fRBLg1bN0
sql injectionって単にDBの名前とパスワードばれただけでしょ?
インジェクション♪ インジェクション♪ パス割り クレカ盗める♪
609 :
名無しさん@八周年:2008/04/08(火) 18:16:59 ID:nO6br+dZ0
ところで
SQLインジェクションが防ぐのが難しい ッてのはわかったけど
SQLインジェクションでハッキングされる可能性を前提に
顧客情報が漏れないように対策することって難しいことなの?
>>610 今回は何十万も貰わなきゃ合わない人も居るし、
集団で数万貰っても納得の行かないことばかりかな。
612 :
名無しさん@八周年:2008/04/08(火) 18:25:27 ID:4hc7gUuL0
613 :
名無しさん@八周年:2008/04/08(火) 18:32:51 ID:nO6br+dZ0
>>610 多分、普通に賠償するより、たとえ信頼と顧客を失っても
文章謝罪だけで終わらせた方がマシって考えるだろうから
(多分、まともに賠償したら倒産するw)
訴訟起こさなきゃ賠償は期待できないだろうね。
614 :
名無しさん@八周年:2008/04/08(火) 18:33:15 ID:c2p1QPXFO
>>609 DBに格納するデータそのものを暗号化すればいいけど
パフォーマンスとか保守性とか考慮するとSQLインジェクション自体をなくすことに
金使う方が圧倒的にやすい。
615 :
名無しさん@八周年:2008/04/08(火) 18:36:25 ID:eAhrneAJ0
あれカラオケボックスじゃなくて楽器屋さんだったのか
616 :
名無しさん@八周年:2008/04/08(火) 18:36:48 ID:PpnTxXCf0
これって本当にSQLインジェクションだけの問題なのか?
IISだけがかたっぱしからやられてるじゃん。
ApacheとMySQLの組み合わせでシステム組んだって
SQLインジェクションは起こりうるのに、Win鯖だけがやられ
てるっておかしいだろ。
617 :
名無しさん@八周年:2008/04/08(火) 18:42:41 ID:N9fx0wgq0
>>613 せめて書面で謝罪文を送ってきたらまだおさまるんだけど、ないだろうね。
いつも情報流出のニュース聞いて納得いかないのは、客に対してゴメンで済ませて、客側ばっかり
流出したあとも気をつけてなきゃいけないこと。
カード会社電話するときに「加盟店契約、解除しないんですか?」って苦情いれたら、効果ある?
そうでもならないと、この会社反省しなさそう。
618 :
名無しさん@八周年:2008/04/08(火) 18:48:10 ID:f8xF2m7t0
「カード会社様に迷惑がかかるので、苦情問い合わせは慎んでください」とか言いそうだなw
サウンドハウスw
反省はないだろうね 鹿せんべいだしw
クレジット会社としては保険処理だし儲かるから解約はないだろう
620 :
名無しさん@八周年:2008/04/08(火) 18:49:19 ID:jSjK7+0f0
>>616 低レベル開発ベンダーに限ってWindowsサーバを使いたがるのは確かだが
それだけで説明がつかないほど固め撃ちされてるよな > IIS
>>608 そのサイトが一番むかつく点、それはIISやASPやSQLサーバという点ではない!
googleで適当に車種名を検索して、(操作して)上位に現れる
[[車種名]] がもっと見たい | ガリバーの車カタログ情報
をクリック
(IEなりの履歴を確認してみると…びびるやん)
http://221616.com/ ってのをカタログサイトに使用するなよwww
なにが「ブーブーイロイロ」じゃ、殺す
622 :
名無しさん@八周年:2008/04/08(火) 18:51:50 ID:qpY/UUyO0
ところで、ここはまだ通販やってるわけ?
ジャパネットたかたみたいな好例があるけど、
とても通販やるレベルじゃねえだろ。
623 :
名無しさん@八周年:2008/04/08(火) 18:52:42 ID:nO6br+dZ0
>>617 いやそもそも
最初
お客様にご迷惑お掛けしたことをお詫びします
みたいな感じで過去形で謝罪してたし
もう音屋の中では終わった事件なんだろうな・・・
これからもご迷惑かかるというのに。
コスト削減とか言って猫も杓子もアホみたいに中華に外注してた時があったからなぁ
エンドユーザが知らん間に中華が手がけてたシステムだったりしてなぁ
自分らが仕掛けとったら脆弱性とか丸分かりやん。
あんな民度の低い国にシステム丸投げして中間業者は大したテストもせず。
・・・数年後、らくらく侵入。とり放題。とか。
625 :
名無しさん@八周年:2008/04/08(火) 19:02:34 ID:a/2CihQj0
もうめんどくさいから、個人情報扱うサイトでのWin鯖禁止にしちゃえよ。
あと、IEでもアクセスもな。
価格コムのクラック以来、被害は増える一方だろ。
HACKER SAFEについて 2008/04/08 18:26:16 サウンドハウス ***
お問い合わせ、ありがとうございます。サウンドハウスでは、2005年1月5日に三和コムテックよりHacker Safeを導入し、
その後、2006年7月19日、3Dセキュアを開始しております。
http://www.hackersafe.jp/ >最高水準のセキュリティを満たすサイトだけに授けられる安心の称号。それがHACKER SAFEサイトです。
627 :
名無しさん@八周年:2008/04/08(火) 19:12:34 ID:wr6e1lcI0
>>624 それを疑うなら、中華とマイクロソフトの仲良しっぷりの方が怖いわw
628 :
名無しさん@八周年:2008/04/08(火) 19:17:06 ID:wr6e1lcI0
>>616 ASPって小中規模CSシステムで使われることが多いから
フォームの入力チェックって厳格にやらないんだよ。
自社の業務システムに悪意ある入力して落とす奴なんてまれだから。
仮に意地悪な入力する人がいたら、やらないでねで済んじゃう。
ただ、その感覚でネットサービスを構築したら穴だらけになる。
ネット上は悪意ある入力だらけだから。
630 :
名無しさん@八周年:2008/04/08(火) 19:48:31 ID:+7qyX12T0
>>629 それとWin鯖ばっかりクラックされるのは関係なくね?
632 :
名無しさん@八周年:2008/04/08(火) 19:54:28 ID:91hoeFX70
633 :
名無しさん@八周年:2008/04/08(火) 20:04:28 ID:OB0riNAY0
俺数年前にある会社のカード決済のシステムの機能追加に関わってたが、元のソースありえないくらい汚くてバグいっぱいでやばすぎたぞw
俺は機能追加で仕事受けただけだからやばいバグは見て見ぬふり。余計な仕事増やして苦労したくなかったからな。
635 :
名無しさん@八周年:2008/04/08(火) 20:08:27 ID:xc2nbYIo0
サウンドハウスはHP上とかメールとかでお知らせしているけど、会員に封書なりハガキで漏洩しましたすみませんのお知らせは送るつもりはないのかな。
636 :
名無しさん@八周年:2008/04/08(火) 20:12:32 ID:ZckGa9im0
>>625 よく分からないんだけど、サウンドハウスみたいなレベルで
UNIX+Oracle みたいなのって余計危なくないの?
俺は単なるユーザーだったけど、管理者の人大変そうだった。
638 :
名無しさん@八周年:2008/04/08(火) 20:14:58 ID:xEQrh4qs0
>>637 >UNIX+Oracle みたいなのって余計危なくないの?
余計危ないって、今回のIIS+MS SQL以上に危なくなることなんてあんの?w
近くに専門店ないからここに登録してたのに
ヘッドホンのイヤーパッド買うのに重宝したなぁ
640 :
名無しさん@八周年:2008/04/08(火) 20:18:21 ID:tzkUk/9B0
SQLインジェクションの餌食になるなんて馬鹿な会社。
さっさと店を閉めろ!クソ会社。
641 :
名無しさん@八周年:2008/04/08(火) 20:21:27 ID:KBrOE/6z0
>>637 >俺は単なるユーザーだったけど、管理者の人大変そうだった。
そしてWindowsならカンタンにできます、っていうMSの甘言に乗せられて
こういう悲劇を生むんだよね。
もちろん会社潰れてもMSは一切責任とってくれないがw
642 :
名無しさん@八周年:2008/04/08(火) 20:22:39 ID:jbR9v7IY0
なんで中国からのアクセス規制しないの?
中国が日本のサイトに用なんてないっしょ
>>638 誤解してるみたいだけど
IISは適切な管理のもとでは安全だぞ。
スキルがないやつに限って何も考えずにIISでVBやって
野良IISして放置するから餌食になる。
>>638 ホントだよな管理も簡単、クラックも簡単ってだけじゃん窓鯖
645 :
名無しさん@八周年:2008/04/08(火) 20:25:17 ID:hoOAJy5H0
>>643 まあ、スキルのあるやつは初めから運用性・メンテナンス性の悪い
IISなんか使わないわけだが。。。
>>645 客が使ってくれ言ってきたら使うしかないだろJK
>>616 一番脆弱な点は、拡張子の .asp だよ。
拡張子が.aspなら、決め打ちでASPで起こりやすい穴を徹底的に攻める
のが実は効率が良いという話も。
もちろん、中国でASP使用頻度が高い事もあるけどね。
>>498 みてみなよ。
注入 tool も全部、GUI 完備でボタン押すだけ。
648 :
名無しさん@八周年:2008/04/08(火) 20:47:23 ID:AMdWc3cY0
>>647 結局、Win鯖で運用するほうがリスキーで、まともに運用しようとする
と手間がかかるってことだな。
649 :
名無しさん@八周年:2008/04/08(火) 20:52:08 ID:nO6br+dZ0
>>635 2chも見てる節があるから
その書き込みみて急遽ハガキ発注だしたかもww
650 :
名無しさん@八周年:2008/04/08(火) 20:58:08 ID:ELEEdiqT0
>>645 俺、スキルばりばりあるよ。
IISでばりばり開発してるよ。
個人情報ばりばり扱ってるよ。
何か問題でも?
651 :
名無しさん@八周年:2008/04/08(火) 21:00:01 ID:ulORe8SR0
>>650 で、こういう奴が今回みたいな惨事を引き起こすとw
サウンドハウス印象悪
653 :
名無しさん@八周年:2008/04/08(火) 21:02:58 ID:hU2lPX87O
or 1 = 1
654 :
名無しさん@八周年:2008/04/08(火) 21:13:56 ID:ZV+3+t5p0
>>648 Webサーバーの立ち上げ・・・1click
データベースの構築・・・2click
商用サイトの開設・・・3click
顧客からの損害賠償・・・Priceless
655 :
名無しさん@八周年:2008/04/08(火) 21:20:24 ID:69ZlRdWjO
入力値チェックやって無かったの?
656 :
名無しさん@八周年:2008/04/08(火) 21:22:31 ID:ELEEdiqT0
>>651 ないない、それはないw
俺、かなりの超一流だから。
>>648 GUIで簡単に構築するにしても、デフォルトを厳しいほうに振っておけばいいんだけど、
そうすると使いにくいのでデフォルトは何でもありの方になってる。
それに、GUIって設定がコピーしにくいんだわ。
テキストファイルなら、適当にググって、いいやつを持ってきて簡単に同じ設定できるし、
それが何をしているのかも調べるのはそう難しくないんだけど、
GUI設定は説明するのも大変だし、そのとおり再現するのも大変。
テキストファイルの設定の良いところは、
2番目に素敵な設定とかをコメントに書いてその場に置いておける事と、
あとはそのままリビジョン管理してdiffがとれたりする事だな。
電話番号、住所は流出してないっていうけど
ログインID、パスワードが出てるなら、Webから直に閲覧可能じゃねぇのか?
やべぇ、鬱になってきた・・・。
IISも設定によってはテキストファイルだったりするけどな
セッション勝手に何分だかで勝手に切りやがるから
苦労して探したわあれ・・・w
661 :
名無しさん@八周年:2008/04/08(火) 21:42:50 ID:25cGgmOb0
>>660 そんな風にサーバをちゃんとチューニングしようとすると急に面倒くさくなるのがIIS
だから分かってる奴は使いたがらない。
そもそも、パッチ一つ当てるだけでハードごと再起動なんて運用性無視もはなはだしい。
しかもちゃんと立ち上がってくれる保証もない。
662 :
名無しさん@八周年:2008/04/08(火) 21:43:12 ID:nO6br+dZ0
>>661 ある程度大規模になってくるとスケールメリットが出るんだよIISは
まともなシステムだとBIOS画面すら遠隔から操作できる
コンソール入れるからな。再起動も特に問題ない。
664 :
名無しさん@八周年:2008/04/08(火) 21:53:37 ID:TDPBOVcX0
>>498 を見ると対策が甘いIISとMSSQLだと簡単にクラックされそうだね
ツールでDBのsa権限とられる
3369番ポートがリスンしてるとサーバにユーザ/グループ作成可能
665 :
名無しさん@八周年:2008/04/08(火) 21:58:02 ID:7BJG/GJA0
>>663 >ある程度大規模になってくるとスケールメリットが出るんだよ
へえ、大規模にサーバ運用してるakamaiもgoogleもIIS使ってるなんて聞いた事ないなあw
>まともなシステムだとBIOS画面すら遠隔から操作できる
>コンソール入れるからな。
わざわざそんなもん用意しなきゃいけないんだw
>再起動も特に問題ない。
ハード障害の発生率は、ハードの再起動時が一番多いらしいぜw
666 :
名無しさん@八周年:2008/04/08(火) 21:59:54 ID:hGa4Rqiz0
ここんとこ激しいみたいね、中国からの攻撃。
インフラの人ちょっと困ってた。
繁忙期は負荷を考えて一時的に
自動侵入検知を止める場合もあるらしいし(めちゃんこ重いので)、
時期によっては案外ヤバイかもと思った。
667 :
名無しさん@八周年:2008/04/08(火) 22:01:18 ID:t1RT0vdU0
>>664 >3369番ポートがリスンしてるとサーバにユーザ/グループ作成可能
MS SQLがデフォでポート開けてるんだとしたらMSのせいだろ、この騒ぎ。
668 :
名無しさん@八周年:2008/04/08(火) 22:01:33 ID:D2C708ru0
いまどきSQLインジェクションなんて、、、
どこの阿呆会社だ?
>>663 DELLならDRAC、HPならiLOとかか?
ありゃ便利だな。
まともに使ってる客ほとんど見たことないけどw
>>665 再起動だけで電源落とさなきゃそんなにトラブらないよ。
俺?俺はSun最高w
この期に及んで最新の状況の釈明メールもよこさずに
一時休業もせずいつも通りネットショップの営業続けますか
>>669 そりゃDRACが頻繁に必要になる運用なんて見たくもないなw
>>669 Windows系は再起動(reboot)が得意な気がする......
>>665 そんな超超超巨大システムなんかシラネーヨw
コンソール入れる理由はデータセンターだからね。普通は。
部屋に入るにも遠いし大変なの。
675 :
名無しさん@八周年:2008/04/08(火) 22:10:45 ID:PQeNA84L0
>>674 そりゃ客は出来れば金のかからない方法でやりたがるだろうからな。
情報流出した時にはもう遅いのだけれど。
インターネットから中国を切り離すべき。
>>677 中華ユーザはある意味切り離されてるがなw
679 :
名無しさん@八周年:2008/04/08(火) 22:25:14 ID:MylZYtPN0
今回、実行犯は国内の中華マフィアじゃまいか?
IPロンダリング用の串をマフィアが中国国内に置いてるだろ
>>498 これ見ると、2007/01/01以前は大丈夫って当てになんないのかなぁ。
他は中国語でよくわかんないけど、↓ってキャッシュみたいの消してるってこと?
@del %SystemRoot%\system32\logfiles*.*
@del %SystemRoot%\system32\config*.evt
@del %SystemRoot%\system32\dtclog*.*
@del %SystemRoot%\system32\*.log
@del %SystemRoot%\system32\*.txt
@del %SystemRoot%\*.txt
@del %SystemRoot%\*.log
@del del.bat
681 :
名無しさん@八周年:2008/04/08(火) 22:29:57 ID:nO6br+dZ0
>>680 いまさら2007以前もダメでした とも言えないしなw
SQLインジェクションとはまたどうして。
今時そんなもん組み込みで危険回避してくれるじゃねぇか。
683 :
名無しさん@八周年:2008/04/08(火) 22:31:53 ID:7qxImDDL0
てか、Windowsなんかで商用鯖立ち上げてる時点でこの会社は有罪確定だろ。
あんなもんただの使い捨て端末用OSだっての。
>>608 carviewってたまに見てるとこだったけど、だいぶ前からウィルス反応あったな
いつ直すんだろうって思ってたw
685 :
名無しさん@八周年:2008/04/08(火) 22:42:09 ID:prjuYTvf0
>>680 キャッシュというか、システムログを全部消してるんだよ
もちろん、足跡を消すためにねw
07/1/1 以前安全説はよくわからない、
カード会社の持ってる流出リスト以上に被害が出てる。
315 名前:名無しさん@ご利用は計画的に[] 投稿日:2008/04/07(月) 10:24:35
先月オンラインゲームで限度額いっぱい不正使用されてカード止められた。
で、さっきカード会社に再度問い合わせてみたら
音家からのリストには俺の名前は入っていないとの事。
早朝の発表もあてにならんでしょこれw
と早速音家に電話。すぐ繋がってびっくりした。
折り返しの電話は遅いけどw
686 :
名無しさん@八周年:2008/04/08(火) 22:48:06 ID:VhEz0aQs0
>>685 つーか、リモートで入ってきていきなりシステムログを消せるOSの方が怖いわ。
これは管理者権限を掌握してるってこと?
>>685 えーっ!、そうなんだ orz... 怖すぎる
688 :
名無しさん@八周年:2008/04/08(火) 22:52:32 ID:+uiiI/5k0
ゼロデイアタックならわかるが、SQLインジェクションとは (´,_ゝ`)プッ
690 :
名無しさん@八周年:2008/04/08(火) 22:57:27 ID:QJM+DVQl0
>>686 当たり前じゃん
>>498 よく見ろって
中国語だけど、なんとなくGUI見れば想像つくでしょ
SQLインジェクションで、管理者権限を奪って vb.exe をターゲットに転送してるんだよ。
知らずに vb.exe を起動すると当然トロイが・・・・ そういうこと
691 :
名無しさん@八周年:2008/04/08(火) 23:00:03 ID:wa8elY7h0
今頃SQLインジェクションかよ。大手も下請けに丸投げだから、技術的に細かいところは
わからないんだよな。
692 :
名無しさん@八周年:2008/04/08(火) 23:01:25 ID:+uiiI/5k0
で、どの程度賠償してもらえるんだろ
693 :
名無しさん@八周年:2008/04/08(火) 23:02:34 ID:kRRqETdt0
SQLインジェクションはただのトリガーにすぎんな。
ここまで簡単に管理者権が乗っ取られる脆弱なシステム
が根本原因。
パラメタライズドを信用しきっていると簡単に起こるよ。
696 :
名無しさん@八周年:2008/04/08(火) 23:27:04 ID:CoMtXGRh0
697 :
名無しさん@八周年:2008/04/08(火) 23:43:58 ID:3mrNpP6P0
>>693 へたれWEB系技術者のおかげでソフトウエア技術者全体の
能力が低く見られるんだよね。
そもそもマイクロソフトなWEBなんてメチャクチャなんだから。
北京、大連、上海に委託しないと攻撃続けるよーって脅しですかね。
「人事も経理もサウンドハウスも中国へ」
今回のは、単純なSQLインジェクションでは無いのだが…
専用のクラッキングツール使って、IIS+SQLサーバ+ASP+SJISの文字列が引き起こす穴をついてる。
マルチバイト言語に対する、インジェクション対策の為の文字列チェック・エスケープ処理は難しいのに、今更とか書いてる人こそ、なんちゃってなのでは?
mysqlのエスケープ関数のコードを追ってみるといいよ
700 :
名無しさん@八周年:2008/04/09(水) 00:19:21 ID:ucM0M/0E0
>>699 そうは言っても、SQLコマンドを直接投げつけてくるのには違いがない。
701 :
名無しさん@八周年:2008/04/09(水) 00:29:22 ID:yDgy2NTp0
>>699 2006年からSQLインジェクションが効くので中国では有名なサイト
>>400なんだぞw
>>434 ハッキングにステ-タスは「快照」だってよw
ハッカーの真犯人は「電脳迷」なorz
警視庁は、ちゃんと ICPOに国際指名手配かけたのか?
犯行声明まで出てるんだぞ、日本の警察は ny だけが心配?
>>698 結局は自分たち、自分たちの国の首を一番しめるってことに気付いてない経済オンチ
日本人、全然金こまらない〜
面倒なだけ〜
一部の業界は逆にうるおうかもw 今回の経済波及効果はデカいwww
五輪・万博が終わった後の絶望的な不況が完璧に想像できる
韓国みたいにIMFに部分的に乗っ取られたように、それ以上に完全に乗っ取られるかもww
日本が、一部乗っ取られたように、浮かれたバブルの後始末は大変、
703 :
名無しさん@八周年:2008/04/09(水) 00:47:40 ID:OJ2odTJF0
>>684 mgk!!
たしか去年結構見てたんだよなぁ
IEでwクッキー食いまくりでwwww
orz
カスペルスキーとかノートンのスキャン時々やってるけど
なんだかわからんが検索できない部分があるんだよ
(ロックされています 処理:スキップ って出る部分がある)
それを除けば感染なしにはなってるが・・・
SQLの記述を使ってるからじゃねーの?
マッピングとかバインド変数使わんの?
エロイ人教えて
そうなると、韓国がそうだったように、大きく振り子が触れる
つまり共産主義への回帰な
そして、第二の文化大革命といえる、反経済大革命がおこると予想
IT技術者と株屋は真っ先に農村へ追いやられるな
706 :
699:2008/04/09(水) 00:49:03 ID:JaxU6DA9O
悪い
別件と勘違いしてた
吊ってくる
これマジ?
411 名前:名無しサンプリング@48kHz[] 投稿日:2008/04/09(水) 00:36:29 ID:CHDmiKVr
そうそう。
> Mirror saved on 2008-02-18 18:15:13
これ、おそらく 2/18日にサウンドハウスの鯖のフルバックアップ取られたって事だと思う
>>702 どうやって中国を乗っ取るのだ
幾らなんでも無理だろう
709 :
名無しさん@八周年:2008/04/09(水) 01:06:25 ID:WqqoENM60
おまいらがSEはブラックって言うから
有能な人材がITに来ないんだよw
>>709 ICTだろw
俺なんて難しいこと良くわかんないけど他人に働かせて自分はほとんど遊んでるだけで1000万超えないギリギリくらいもらえてるけどな。
入る会社さえ間違えなきゃいいと思うけど。
711 :
名無しさん@八周年:2008/04/09(水) 01:21:07 ID:xTRhjveK0
スクリプト作っている人間と使っている人間は別だから、IIS+MS SQLが多くなるんだろ。
スクリプト作っているのが、apache+MySQL用のスクリプトを作っていないだけだろうな。
こんなレベルだぞ、いまの連中は。w
このSQLインジェクションによる不正アクセスとやらは
「'」「;」「-」あたりの入力を無効化しとけば大体防げるみたいだけど、
ここで導入されてたセキュリティはたかがこんなこともスルーしちゃうの?
713 :
名無しさん@八周年:2008/04/09(水) 01:31:57 ID:CEFyKbqQ0
>今回のは、単純なSQLインジェクションでは無いのだが…
>
>専用のクラッキングツール使って、IIS+SQLサーバ+ASP+SJISの文字列が引き起こす穴をついてる。
>
>マルチバイト言語に対する、インジェクション対策の為の文字列チェック・エスケープ処理は難しいのに、
>今更とか書いてる人こそ、なんちゃってなのでは?
>
>mysqlのエスケープ関数のコードを追ってみるといいよ
714 :
名無しさん@八周年:2008/04/09(水) 01:36:39 ID:cFqinnwH0
715 :
名無しさん@八周年:2008/04/09(水) 01:38:30 ID:rShYUw1E0
>>699 >今更とか書いてる人こそ、なんちゃってなのでは?
いや、MSの火消しだよ。
717 :
名無しさん@八周年:2008/04/09(水) 01:43:41 ID:lEQzVHPr0
どうせ制作費ケチったに決まってる。
718 :
名無しさん@八周年:2008/04/09(水) 02:05:29 ID:rShYUw1E0
>>715 マイクロソフトは製品の信頼性上げないでそんなことばっかやってるよな。
720 :
名無しさん@八周年:2008/04/09(水) 02:28:59 ID:uLpCHMEJO
つうかそもそもSQLインジェクションってなんだよ
そこを説明してくれんとわけわからんだろ、この記事
RE: 個人情報の流出について サウン
差出人:
[email protected] 送信日時: 2008年4月9日 1:38:17
宛先: @@@@@@@@@@hotmail.com)
@@@@@@@@様
この度、お客様には多大なるご迷惑、ご心配をおかけすることに至りましたことを改めて、お詫び申し上げます。
また、ご返事が遅くなり、誠に申し訳ございません。お客様からお問い合わせ頂いた件につきましては、既に配信
済みのメール内容と一部重複する可能性もあるかも知れませんが、回答させていただきます。 弊社におきまして
は、自社サーバーにおいて、早くからハッカーセーフを導入し、カード会社の推奨に従って3Dセキュア等のセキュ
リティー対策も施しておりましたが、既存のセキュリティーは看破され、情報流出に至っている次第となります。
現在はセキュリティ対策の専門会社からの提案に基づき、以下のシステム上のセキュリティ強化、及び対策に発覚
直後より取り組み、すべて完了しております。
・弊社データベースから全てのカード情報を削除。
・ファイヤーウォールの強化を行い不正侵入対策を強化。
・不正侵入監視機器を導入し24時間体制で監視。
・全てのウェブプログラムの見直しを行いセキュリティを強化。
・ウェブサーバー上に存在した不審なプログラムの削除。
・システム構成の見直し。
・社内管理体制を見直し、セキュリティ管理・対策委員会を設置
ご迷惑をおかけし、誠に申し訳ございませんが、何卒ご理解の程、よろしくお願い致します。
だとさ。
これでいいと思っているのかな?
723 :
名無しさん@八周年:2008/04/09(水) 02:43:01 ID:vJLOJM8O0
中国のNICに割り当てられてるIPのレンジ教えてほしいんだけど
マジでファイアウォールで弾くわ
724 :
名無しさん@八周年:2008/04/09(水) 02:45:32 ID:zYaXgdF80
NIC?
726 :
名無しさん@八周年:2008/04/09(水) 02:46:29 ID:o5pJtp1/0
>>722 Windows鯖なんかでサイト立ち上げたばっかりに大損害なことになったな。。。
客も他に流れてっちゃっただろうし。
>>722 何回かメール送ってみたけどコピペ文しか返ってこないよ
この会社に謝罪の気持ちがまったくないことがよくわかる
情報盗んだ奴はちゃんと逮捕されて
どこへどこまで流れたのか吐かせられるの?
>>400みたいにハックできたところがずらっと並んでると思われるサイト見つけちまった・・・・・
怖いから見れなかった
誰か勇者おねがい
危ないから部分的に変えるわ
c*ina*ing.o*g/hits.txt
↑ ↑ ↑
h k r
>>728 酷いな。最低でも全利用者に封書で謝罪文送るべき
このままなら本当に集団訴訟しかないだろ
735 :
名無しさん@八周年:2008/04/09(水) 03:28:40 ID:c06sJURl0
736 :
名無しさん@八周年:2008/04/09(水) 03:50:10 ID:5wWMZeoL0
マジで、全部抜かれたのかな?
762 名前:名無しさん@ご利用は計画的に[sage] 投稿日:2008/04/09(水) 03:23:21
> Mirror saved on 2008-02-18 18:15:13
> Reason:僅作安全検測
この「僅作安全検測」ってなんて訳すの?
ミラー作って安全に調べるって事かな
そりゃ、中身全部コピーしてlocalで解析するのは安全だわなw
737 :
名無しさん@八周年:2008/04/09(水) 04:19:57 ID:e7esZ7oF0
今時SQLインジェクションって。。。
>同社データベースから全てのカード情報を削除
アホですか?
この手の記事で沸いてでてくるのが「今時〜かよ」ってコメントなんだけども
サイトの規模に応じて穴ふさぐのは結構大変だったりするので
知ったかな物言いの方々というのは、何10万行ものコードでも一瞬で
把握して驚くほどスピーディーに対処してくれるプログラマだったり、
事細かに技術指導しなくても一通りの知識もってて
自発的に対策してくれたりするものなんですかね?
私一応納品されてくるものチェックする立場の人間なんですが、
まともに対処済みコード納品してくる奴をあまり見たことが
ないので、ましてセキュリティ系Blogなどで講釈たれている人ってのは
ずいぶん人材に恵まれてるんだなあと思ったり。
>>739 >知ったかな物言いの方々というのは、何10万行ものコードでも一瞬で
>把握して驚くほどスピーディーに対処してくれるプログラマだったり、
とうぜん、相応のカネは出してくれるんですよね?
もちろん喜んでやらせていただきますよ:)
>もちろん喜んでやらせていただきますよ:)
そう言ってカネだけもらって、どこからかコピペしたような役に立たない
アドバイザリだけ納品して逃げた奴もたくさんいましたけど
あなたは違うということですね。(w
742 :
名無しさん@八周年:2008/04/09(水) 04:44:56 ID:yf/PG2780
>今回のは、単純なSQLインジェクションでは無いのだが…
>
>専用のクラッキングツール使って、IIS+SQLサーバ+ASP+SJISの文字列が引き起こす穴をついてる。
>
>マルチバイト言語に対する、インジェクション対策の為の文字列チェック・エスケープ処理は難しいのに、
>今更とか書いてる人こそ、なんちゃってなのでは?
>
>mysqlのエスケープ関数のコードを追ってみるといいよ
743 :
名無しさん@八周年:2008/04/09(水) 05:00:50 ID:9EB+bccp0
>>740 こういう高をくくった知ったかぶりが、今回みたいな事故を起こすんだろうなw
なんとなくバインドを知らない人が混じっているような気がする......
746 :
名無しさん@八周年:2008/04/09(水) 07:06:51 ID:SDgomq440
carviewサイトもやられましたよーw
747 :
名無しさん@八周年:2008/04/09(水) 07:13:12 ID:w0PUL1ld0
>トレンドマイクロのWebサイトが改ざんされた被害も、
さりげにやばい事書いてない?
トレンドマイクロって、ありえんだろwwww
信用がああああああああ
748 :
名無しさん@八周年:2008/04/09(水) 07:15:14 ID:+TVKWdx50
>>739 中国のIPアドレスはじくだけで結構効果あるんじゃね?
750 :
名無しさん@八周年:2008/04/09(水) 07:23:09 ID:grAIkXqfO
あ〜 俺、ここでPEAVYのヘッド買ったわ。
751 :
名無しさん@八周年:2008/04/09(水) 07:25:29 ID:xg4zeFR70
ブレスオブファイアXのSOLはいいシステムだったわ
マルチバイトっていっても文字コード問題に悩まされてきた
perlなら大昔から当然のようにチェックするけどな
というか、どんな言語の文字コードが入ってこようが
汚染命令となる文字の表現バイト列は決まっているんだし。
PHPとかASPとか低能IT土方こそ一番触れさせてはいけない言語だな。
753 :
名無しさん@八周年:2008/04/09(水) 07:35:02 ID:GIzz5/Vq0
754 :
名無しさん@八周年:2008/04/09(水) 07:41:46 ID:w0PUL1ld0
>>752 低脳土肩しか居ない件について
まともな奴はIT業界にいかないよ
プログラムの報酬って難しいよな。
どうせ派遣で適当にプログラマ募集して薄給で作らせるんだろうけど。
756 :
名無しさん@八周年:2008/04/09(水) 08:11:23 ID:6nJ2xbwY0
艇脳底脳ってほんとむかつく。だいたいSQLなんて使う方がどうかしてるぜ。w
>マルチバイト言語に対する、インジェクション対策の為の文字列チェック・エスケープ処理は難しい
俺web系じゃないんだけど、
俺だったらSJISはまずとりあえずUTFに変換するわけだが
web系ってアホなの?
759 :
名無しさん@八周年:2008/04/09(水) 08:29:47 ID:cUPR+dWJ0
ソフトそのものが中国製という可能性はないのか
バックドアを仕掛けておきそこから侵入したとか
オンライン決済の現場なんてこんなもんだぞ
カード番号や有効期限もそのままDB蓄積
必要ないデータも何かの為に取っておくとか意味不明な理由つけて全部保存
そのくせセキュリティについてはまったく一言も触れず、実質PG任せ。対策してて当たり前、のような空気だな。
でも俺からすればセキュリティ設計が仕様書に盛り込まれていないほうが悪いと思う。
書いてあっても『セキュリティに配慮した設計とする』とかの一言だけw
これが某大手の現場だよ
761 :
名無しさん@八周年:2008/04/09(水) 09:34:52 ID:G7KI2ysI0
RE: 個人情報の流出について サウン
差出人: info@soundhouse.co.jp
送信日時: 2008年4月9日 1:38:17
宛先: @@@@@@@@@@hotmail.com)
@@@@@@@@様
この度、お客様には多大なるご迷惑、ご心配をおかけすることに至りましたことを改めて、お詫び申し上げます。
また、ご返事が遅くなり、誠に申し訳ございません。お客様からお問い合わせ頂いた件につきましては、既に配信
済みのメール内容と一部重複する可能性もあるかも知れませんが、回答させていただきます。 弊社におきまして
は、自社サーバーにおいて、早くからハッカーセーフを導入し、カード会社の推奨に従って3Dセキュア等のセキュ
リティー対策も施しておりましたが、既存のセキュリティーは看破され、情報流出に至っている次第となります。
現在はセキュリティ対策の専門会社からの提案に基づき、以下のシステム上のセキュリティ強化、及び対策に発覚
直後より取り組み、すべて完了しております。
・弊社データベースから全てのカード情報を削除。
・ファイヤーウォールの強化を行い不正侵入対策を強化。
・不正侵入監視機器を導入し24時間体制で監視。
・全てのウェブプログラムの見直しを行いセキュリティを強化。
・ウェブサーバー上に存在した不審なプログラムの削除。
・システム構成の見直し。
・社内管理体制を見直し、セキュリティ管理・対策委員会を設置
ご迷惑をおかけし、誠に申し訳ございませんが、何卒ご理解の程、よろしくお願い致します。
だとさ。
皆にこのコピペメール送ってるようだけど
これでいいの?
>全てのウェブプログラムの見直しを行いセキュリティを強化
いくら設備や管理に金かけてもSQL文のエスケープミスでドカーンなんだし
優秀なプログラマを雇う
これ以外に対策無いと思うけど