【社会】三菱UFJニコス、Heartbleed攻撃で894人分の個人情報が外部に流出した可能性

インターネットで広く利用されている暗号化ソフトに
重大な欠陥が見つかった問題で、大手カード会社「三菱ＵＦＪニコス」の
ホームページがこの欠陥を狙った不正アクセスを受け、のべ８９４人分の
個人情報が外部に流出した可能性のあることが分かりました。
ソフトの欠陥が確認されてから国内で被害が明らかになるのは
今回が初めてです。

*+*+ NHKニュース +*+*
http://www3.nhk.or.jp/news/html/20140419/k10013867171000.html

僕の肛門も大量出血しそうです＞＜

三菱ＵＦＪって顧客情報を流出させてばかりの印象があるな

金融機関って落ちこぼれの行くところか？

８９４人が少なく感じる
取り扱ってるのそれだけなの？

銀行のくせにオープンソース
使うんだな

もうUFJにすんのやめるわ。メールとかうざいし

OpenSSLのアップデートだけでなく
サイトの証明書を新しくしないといけないらしいが
どうなってるのだろうか？


2014年04月18日
弊社会員専用WEBサービスへの不正アクセスにより一部のお客さま情報が不正閲覧された件
http://www.cr.mufg.jp/corporate/info/pdf/2014/140418_01.pdf

その程度で済んでるのか怪しい

三菱ＵＦＪニコスのカード持ってるけど、ホームページ見てなければｏｋなんかな

金融系はオープンSSL使ってないから大丈夫とか
主張してたアホがチラホラ居たけど何を根拠に言ってたんだか

894名（延べ）っていうことは、
実際の被害人数はもっと少ないってことか。
まあ、メールも電話もなかったので、良しとするか。

ああ、暗号化ソフトの欠陥が見つかったって海外で大問題に
なってるっていってたやつかｗ

>>6

銀行なのにっていうかオープンソースは相当数の企業で使ってるよ。
たとえばサーバにLinux使ってるところはむちゃくちゃ多い。

>>14 IBMだろ。

これ、その期間にログインしたユーザーの数とかじゃないのか？
この攻撃はアタックされたからって情報が必ず取れるわけじゃないだろ？
それともユーザー/パスワード情報のメモリが必ず取れるような作りになってたことが確認されたのかね。

頻繁に顧客にフィッシングサイトに騙されるな！なんてCM流してる隙に
サイトを直接攻撃されて漏れちゃったでござるの巻

>>8
連絡無いってことは大丈夫ってことか
良かった

> のべ８９４人分

８９３を超えた

>>14

基本IBMがやってるね。
IBM製サーバ入れてる企業は相当数あるから
オープンソース使ってるところは多いってこと言いたかったんよ。

安価ミスった>>14じゃなくて>>15だすまん

一人少なければもう少しスレがのびたのに

は？
メガバンは影響ないって声明だしてなかったか

基幹系は影響ないって意味じゃね？

ホームページは、また別なんじゃね？

>>10
全く関係ない

お前の個人情報（カードナンバーや与信情報含め）は
本丸のNICOSから直に盗まれた

振り込め詐欺の電話かかってきたら
ニコスのお客様センターに転送したら良いの？

こういう記事を見て、詐欺グループが動き始めるんじゃなかろうか

「あなたの個人情報が流出した可能性があります。確認のためパスワードを言ってください。」

エニグマ　て、どんなものですか。
このソフトはエニグマより凄いのですか。

>>23
メガバンは影響なかったよ
確認済み

クレジットカードなら三菱UFJニコス
http://www.cr.mufg.jp/

2014年04月18日
弊社会員専用WEBサービスへの不正アクセスにより一部のお客さま情報が不正閲覧された件
http://www.cr.mufg.jp/corporate/info/pdf/2014/140418_01.pdf


894のアカウントに対して、どのような不正アクセスが行われたのか、全然わからんのだが

ニコスってJCBカードの事？

あれ？ここじゃなかったっけ
貴様のなんとかかんとかってメールが来るのって

>>31
昔の日本信販

ここを名乗る奴とエニックス公司とやらから怪しいメールが来るので
アドレス変えたよ
ほぼ同時に届き始めたから根っこは同じなのかもな。

これOpenSSLの件は大問題なのに
日本で報道の扱いが小さすぎると思うんだが
表面化してないだけで沢山あるだろコレ

対策してないのなら「大量のTLS接続があった」程度しか痕跡は残らないはずなのに
なぜ「894人分の個人情報が漏れた」なんて超具体的な被害がわかるのかね

「被害に遭ったかどうかわからない」
「漏れたか漏れてないか、漏れたなら何が漏れたのかわからない」

のが HeartBleed の深刻なところなのに

8日の時点でJPCERTからも注意喚起が出ていたし修正版もあったんだから、
11日にもなってまだ穴が開いたままという時点で論外だね。
三菱ＵＦＪニコスのセキュリティ感覚はクソ以下としか言いようがない。

今日カード受け取ったばっかりでこれかよｗ

セキュリティのコア部分をオープンソースに頼ることの危険性。
銀行がフリーソフトを業務に使うことなんて、一昔前からあり得なかった。
Linuxの登場以来、世界中のITモラルが麻痺してしまった。

>>39
逆でしょ。金融がらみの情報の管理をネットでやろうとした事が問題なわけで。
いくら便利だろうがやっちゃいかんことくらいわかるでしょ。理系で
その手の専門の人間なら。

年寄りに電話するのが仕事の文系証券マンかよｗ

>>6
こいつ相当アホだな

11 ：名無しさん＠１３周年＠転載禁止：2014/04/19(土) 10:21:34.07 ID:Y35phYhq0
金融系はオープンSSL使ってないから大丈夫とか
主張してたアホがチラホラ居たけど何を根拠に言ってたんだか


本当にそういうヤツらおったよな。知ったかのクズどもだわ。
ネットバンクは１社だけに絞ったが、ここも大金は引き上げたわ。

ＦＸとか株も不安になってきたわ。何されるか分かったもんじゃないし。
不要な金融機関とのネット契約は解除すべきだな。
何も信用できん。

J-WESTカードって確かここだったよな

オフショアアウトソーシング、
Heartbleed以前に終わってる業界と聞いたが

流出は何回目なんだ？

ネットによる不正引き出しとか
クレジットカードの不正使用とか
本人の過失ではなくＳＳＬが解読されたことによる被害が多いんじゃないのか？

暗証番号表だって入力していくうちに表はうめられていくからな。
ある程度抜き取ったあとで不正引き出しされてる可能性もあるんじゃないのか？

> 三菱ＵＦＪニコス

三菱東京UFJの「東京」の部分はどこに消えたのか

>>3
UFJな

貴重なジョーズとETの個人情報が

オープンソースなんて、最初からこういう不正をやるために
仕組んでるんじゃないのか？

ニコスは10年ぐらい前にも流出やらかしてなかったっけ？

これから流出しそうなところからはさっさと移したほうがいいね
もう遅いか

無料メールにしても
検索やラインやら無料のサービスってのは、個人情報盗んだり
こういうふうに最後はカネまで盗もうとする壮大な詐欺のような気がしてきたわ。

発表される情報は氷山の一角で、実際にはどうなってるのか皆目分からんな。
勝手にネットでローン組まれたり、商品取り込まれたりした場合の補償なんか
どこまで適用されるのかも分からんし、個人で証明しろとか無理なことを要求し出すかもしれんな、この間抜けどもは。

　　　　　 ＿＿＿＿＿
　　　　／　　　　　　　＼
　　　 /　　　　古　 　 　ヽ
　 　 /　　　　　　　　　　 ヽ 　　　■ 大金払って●を流出させた無能ストーカー晒し首103の公開処刑自己紹介乙です。 ■
　 　│　　ニミ,　 ∠ニ 　 │
　 　 |_┌─‐‐ｭ__r ‐─┐_ | 　　 キチガイイライラMAX0168でワロタ東京都コピペ知障0007あげｗｗｗｗｗｗｗ
　　f''| 丶__'_ﾟ"ﾊ 丶"ﾟ_'_,ｲ　|T 　 ストレス溜めにパソコン開いて601コピペする人生だもんなｗｗｗｗｗｗ消えろ日本橋！
　 　 ﾄ|　　　　　|　 　 　　 　|ﾉ 　 ワタナベだか古着屋だか中央区惨めすぎて逆に興味あるわｗｗハマチョールートあげ
　　 |:|　　　 　(!___,!　　　　 |:| 　　http://i.iimgur.com/H8UH24e.jpg
　 　 !:| 　__／＿ ＿ヽ__　 l:ﾘ
　　　　＼ 　 　￣　 　 ／
　　　　　　 ' ー── '

>>39
暗号化ライブラリから自前かよｗ

そんなの書けるやつどれだけいるって言うんだ？

なんかサーバーばっかり話題になってるけどルーターのソフトにもOpenSSLが
使われているのがあるんだが、そのあたりは大丈夫なんか？

YAMAHAは、該当不具合のあるOpenSSLは使用していないので大丈夫宣言を
出しているけどさ。

>>25
適当な事言うなよ
DB見られるわけじゃなくメモリ見られるだけだから見て無ければ問題ない

>>37
証明書取りなおしして入れなおしてサーバ再起動とかだから
会社によってはそんなすぐ対応できないよ
まぁ、金融機関はすぐやって欲しかったけど

CISCO製品は影響を受けるものがあるみたいだな。

http://www.cisco.com/cisco/web/support/JP/112/1122/1122331_cisco-sa-20140409-heartbleed-j.html

あと富士通も

https://fenics.fujitsu.com/products/support/2014/ipcom-02.html

ジャックスから連絡来てたな

>>36
OpenSSLでメモリの内容が読み取られる所までは確かに痕跡は残らない。
読み取った情報を利用してさらに情報を取ろうと思ったら痕跡は残る罠。

うじゃうじゃ出てくるのか

さっきニコスからメール来た
【NICOS】美味しいワインを安く買うならMy Wine CLUBで！
もっと他に知らせることがあるだろ

DCカード大丈夫なのだろうか？
パスワード変更依頼メール未だこないし

MUFJダイレクトのトップページがめちゃ重いの何とかしろよ

>>66
偽物サイトは重いだろ

これキャッシュカードは問題ないんだよね
給料を手渡しでもらった世代だからクレジットカードは作りたくない
昔の女の影響で作ろうかと思ったが頑なに作らなかった

>>59
穴を突かれたのを確認してから、復旧まで1日で対応しているな。
担当者の意識が低すぎたか、やる気がなかったかのどっちかは
わからんが、「すぐ対応できない」という話ではないね。
単に放置していただけだろ。

>>51
お前は本当にアタマが悪いなぁ

クローズドのWindowsはバグがないとでも思ってるの？
同じ不具合があっても監視の目も修正者もいないから、
MSが動かない限り修正されないままなんだが

そもそも今回の流出はパッチを当てないことによる管理者の怠慢。
ゼロデイ攻撃なんてクローズドのWindowsが何度も食らってる攻撃
ですが？？？

三菱ともあろう者が、なんという手落ちｗ

>>37
ここだけじゃないよ
他も大量にやられている、海外では日本のサイトは脆弱だとハッキングを推奨する奴らまでいる

ネット関係、PC関係以外の一般ニュースサイトじゃ、警察庁の
警告が出るまでほとんど報道すらしていなかったからね。
CNNやロイター、AFPといった海外のところは、翌日には大々的
に報じていたというのに。

トレンドマイクロからのアナウンス貼っておくよ
ttp://blog.trendmicro.co.jp/archives/8927

一般ユーザーができる事は、
・一般のユーザは、ご利用のサイトが脆弱性の影響を受けないことを確認した上で、オンラインアカウントのパスワードを変更することを検討して下さい。
・特に金銭に関係するアカウントに関しては、不審な動きがないかを監視して下さい。
・普段からお使いのブラウザが SSL証明書の失効検証を行っているかどうか、設定を確かめてください。

超超超重大な問題なのにほとんどニュースにしない
そして三菱が犯したのがこのザマだよ

事がヤバすぎるから大々的に報道できないんだよ
ほとんどの企業が三菱UFJの事件を見てあわ食って対応しているはず
きちんとした報道がされてくるのは主要企業の対応が終わった来週以降じゃないかな

>>76

ハートブレイク攻撃できる頭のやつは
マスコミの報道量に関わらず情報手に入れてるんだから
積極的に対策含めて報道すべきだろ
重大だから報道しないは原発のときのミンスと同じ

チョンの沈没船伸びてこれが2ちゃんねるで伸びないのも問題だなw

>>77
> 重大だから報道しない
戦前からの「美しい国日本」の伝統だからね。

>>71
やらかしたのはUFJの部分な