【社会】三菱UFJニコス、Heartbleed攻撃で894人分の個人情報が外部に流出した可能性

このエントリーをはてなブックマークに追加
1 ◆HeartexiTw @胸のときめきφ ★@転載禁止
インターネットで広く利用されている暗号化ソフトに
重大な欠陥が見つかった問題で、大手カード会社「三菱UFJニコス」の
ホームページがこの欠陥を狙った不正アクセスを受け、のべ894人分の
個人情報が外部に流出した可能性のあることが分かりました。
ソフトの欠陥が確認されてから国内で被害が明らかになるのは
今回が初めてです。

*+*+ NHKニュース +*+*
http://www3.nhk.or.jp/news/html/20140419/k10013867171000.html
2名無しさん@13周年@転載禁止:2014/04/19(土) 10:07:15.22 ID:bXu0fUZz0
僕の肛門も大量出血しそうです><
3名無しさん@13周年@転載禁止:2014/04/19(土) 10:07:52.38 ID:P6jYD7Gj0
三菱UFJって顧客情報を流出させてばかりの印象があるな
4名無しさん@13周年@転載禁止:2014/04/19(土) 10:08:31.77 ID:b7AbJdrU0
金融機関って落ちこぼれの行くところか?
5名無しさん@13周年@転載禁止:2014/04/19(土) 10:09:33.61 ID:j7JtgKxV0
894人が少なく感じる
取り扱ってるのそれだけなの?
6名無しさん@13周年@転載禁止:2014/04/19(土) 10:13:03.15 ID:UAQapGRk0
銀行のくせにオープンソース
使うんだな
7名無しさん@13周年@転載禁止:2014/04/19(土) 10:15:37.19 ID:IGkex+wQ0
もうUFJにすんのやめるわ。メールとかうざいし
8名無しさん@13周年@転載禁止:2014/04/19(土) 10:18:34.89 ID:KstvNffF0
OpenSSLのアップデートだけでなく
サイトの証明書を新しくしないといけないらしいが
どうなってるのだろうか?


2014年04月18日
弊社会員専用WEBサービスへの不正アクセスにより一部のお客さま情報が不正閲覧された件
http://www.cr.mufg.jp/corporate/info/pdf/2014/140418_01.pdf
9名無しさん@13周年@転載禁止:2014/04/19(土) 10:18:50.70 ID:FLuUZQkk0
その程度で済んでるのか怪しい
10名無しさん@13周年@転載禁止:2014/04/19(土) 10:18:53.19 ID:BFgnTave0
三菱UFJニコスのカード持ってるけど、ホームページ見てなければokなんかな
11名無しさん@13周年@転載禁止:2014/04/19(土) 10:21:34.07 ID:Y35phYhq0
金融系はオープンSSL使ってないから大丈夫とか
主張してたアホがチラホラ居たけど何を根拠に言ってたんだか
12名無しさん@13周年@転載禁止:2014/04/19(土) 10:23:38.08 ID:B2hpe8jK0
894名(延べ)っていうことは、
実際の被害人数はもっと少ないってことか。
まあ、メールも電話もなかったので、良しとするか。
13名無しさん@13周年@転載禁止:2014/04/19(土) 10:23:46.38 ID:RZbvrYDv0
ああ、暗号化ソフトの欠陥が見つかったって海外で大問題に
なってるっていってたやつかw
14名無しさん@13周年@転載禁止:2014/04/19(土) 10:25:04.61 ID:KjwWUTPR0
>>6

銀行なのにっていうかオープンソースは相当数の企業で使ってるよ。
たとえばサーバにLinux使ってるところはむちゃくちゃ多い。
15名無しさん@13周年@転載禁止:2014/04/19(土) 10:26:08.59 ID:i4HO7HsJ0
>>14 IBMだろ。
16名無しさん@13周年@転載禁止:2014/04/19(土) 10:27:43.20 ID:QLKLtxNy0
これ、その期間にログインしたユーザーの数とかじゃないのか?
この攻撃はアタックされたからって情報が必ず取れるわけじゃないだろ?
それともユーザー/パスワード情報のメモリが必ず取れるような作りになってたことが確認されたのかね。
17名無しさん@13周年@転載禁止:2014/04/19(土) 10:30:17.21 ID:0P8OoH1M0
頻繁に顧客にフィッシングサイトに騙されるな!なんてCM流してる隙に
サイトを直接攻撃されて漏れちゃったでござるの巻
18名無しさん@13周年@転載禁止:2014/04/19(土) 10:31:41.79 ID:v2lwj5UT0
>>8
連絡無いってことは大丈夫ってことか
良かった
19名無しさん@13周年@転載禁止:2014/04/19(土) 10:36:23.72 ID:15HLPMIz0
> のべ894人分

893を超えた
20名無しさん@13周年@転載禁止:2014/04/19(土) 10:43:42.74 ID:KjwWUTPR0
>>14

基本IBMがやってるね。
IBM製サーバ入れてる企業は相当数あるから
オープンソース使ってるところは多いってこと言いたかったんよ。
21名無しさん@13周年@転載禁止:2014/04/19(土) 10:46:06.22 ID:KjwWUTPR0
安価ミスった>>14じゃなくて>>15だすまん
22名無しさん@13周年@転載禁止:2014/04/19(土) 10:49:31.66 ID:RsOvTBfx0
一人少なければもう少しスレがのびたのに
23名無しさん@13周年@転載禁止:2014/04/19(土) 10:53:16.91 ID:lR/QKd9P0
は?
メガバンは影響ないって声明だしてなかったか
24名無しさん@13周年@転載禁止:2014/04/19(土) 11:01:03.67 ID:B2hpe8jK0
基幹系は影響ないって意味じゃね?

ホームページは、また別なんじゃね?
25名無しさん@13周年@転載禁止:2014/04/19(土) 11:17:16.77 ID:Wo5onjx80
>>10
全く関係ない

お前の個人情報(カードナンバーや与信情報含め)は
本丸のNICOSから直に盗まれた
26名無しさん@13周年@転載禁止:2014/04/19(土) 11:17:35.76 ID:F6zwAYHV0
振り込め詐欺の電話かかってきたら
ニコスのお客様センターに転送したら良いの?
27名無しさん@13周年@転載禁止:2014/04/19(土) 11:37:21.40 ID:nytkw1sb0
こういう記事を見て、詐欺グループが動き始めるんじゃなかろうか

「あなたの個人情報が流出した可能性があります。確認のためパスワードを言ってください。」
28名無しさん@13周年@転載禁止:2014/04/19(土) 11:37:40.97 ID:TRTHsFBa0
エニグマ て、どんなものですか。
このソフトはエニグマより凄いのですか。
29名無しさん@13周年@転載禁止:2014/04/19(土) 11:41:29.43 ID:J8geVnXk0
>>23
メガバンは影響なかったよ
確認済み
30名無しさん@13周年@転載禁止:2014/04/19(土) 11:44:29.96 ID:KstvNffF0
クレジットカードなら三菱UFJニコス
http://www.cr.mufg.jp/

2014年04月18日
弊社会員専用WEBサービスへの不正アクセスにより一部のお客さま情報が不正閲覧された件
http://www.cr.mufg.jp/corporate/info/pdf/2014/140418_01.pdf


894のアカウントに対して、どのような不正アクセスが行われたのか、全然わからんのだが
31名無しさん@13周年@転載禁止:2014/04/19(土) 11:48:26.17 ID:v+EgGDfG0
ニコスってJCBカードの事?
32名無しさん@13周年@転載禁止:2014/04/19(土) 11:49:33.32 ID:G7YLcWTN0
あれ?ここじゃなかったっけ
貴様のなんとかかんとかってメールが来るのって
33名無しさん@13周年@転載禁止:2014/04/19(土) 11:56:59.18 ID:cld70rAd0
>>31
昔の日本信販
34名無しさん@13周年@転載禁止:2014/04/19(土) 12:02:01.86 ID:Z7lrO2cz0
ここを名乗る奴とエニックス公司とやらから怪しいメールが来るので
アドレス変えたよ
ほぼ同時に届き始めたから根っこは同じなのかもな。
35名無しさん@13周年@転載禁止:2014/04/19(土) 12:18:45.45 ID:K5jt2YnC0
これOpenSSLの件は大問題なのに
日本で報道の扱いが小さすぎると思うんだが
表面化してないだけで沢山あるだろコレ
36名無しさん@13周年@転載禁止:2014/04/19(土) 12:25:41.14 ID:ScSmQzYr0
対策してないのなら「大量のTLS接続があった」程度しか痕跡は残らないはずなのに
なぜ「894人分の個人情報が漏れた」なんて超具体的な被害がわかるのかね

「被害に遭ったかどうかわからない」
「漏れたか漏れてないか、漏れたなら何が漏れたのかわからない」

のが HeartBleed の深刻なところなのに
37名無しさん@13周年@転載禁止:2014/04/19(土) 12:27:26.96 ID:SJVXZFYA0
8日の時点でJPCERTからも注意喚起が出ていたし修正版もあったんだから、
11日にもなってまだ穴が開いたままという時点で論外だね。
三菱UFJニコスのセキュリティ感覚はクソ以下としか言いようがない。
38名無しさん@13周年@転載禁止:2014/04/19(土) 12:52:17.58 ID:pSUU2uzc0
今日カード受け取ったばっかりでこれかよw
39名無しさん@13周年@転載禁止:2014/04/19(土) 13:36:55.94 ID:/9XdtIO00
セキュリティのコア部分をオープンソースに頼ることの危険性。
銀行がフリーソフトを業務に使うことなんて、一昔前からあり得なかった。
Linuxの登場以来、世界中のITモラルが麻痺してしまった。
40名無しさん@13周年@転載禁止:2014/04/19(土) 13:47:25.18 ID:+W0JLlQ+0
>>39
逆でしょ。金融がらみの情報の管理をネットでやろうとした事が問題なわけで。
いくら便利だろうがやっちゃいかんことくらいわかるでしょ。理系で
その手の専門の人間なら。
41名無しさん@13周年@転載禁止:2014/04/19(土) 13:49:47.10 ID:KstvNffF0
年寄りに電話するのが仕事の文系証券マンかよw
42名無しさん@13周年@転載禁止:2014/04/19(土) 13:51:52.46 ID:6E41aB/l0
>>6
こいつ相当アホだな
43名無しさん@13周年@転載禁止:2014/04/19(土) 14:18:13.24 ID:gx4t3eBV0
11 :名無しさん@13周年@転載禁止:2014/04/19(土) 10:21:34.07 ID:Y35phYhq0
金融系はオープンSSL使ってないから大丈夫とか
主張してたアホがチラホラ居たけど何を根拠に言ってたんだか


本当にそういうヤツらおったよな。知ったかのクズどもだわ。
ネットバンクは1社だけに絞ったが、ここも大金は引き上げたわ。

FXとか株も不安になってきたわ。何されるか分かったもんじゃないし。
不要な金融機関とのネット契約は解除すべきだな。
何も信用できん。
44名無しさん@13周年@転載禁止:2014/04/19(土) 14:22:45.32 ID:iFqRkT30O
J-WESTカードって確かここだったよな
45名無しさん@13周年@転載禁止:2014/04/19(土) 14:23:26.03 ID:rXnzv2Kh0
オフショアアウトソーシング、
Heartbleed以前に終わってる業界と聞いたが
46名無しさん@13周年@転載禁止:2014/04/19(土) 14:24:19.74 ID:il+iZG1K0
流出は何回目なんだ?
47名無しさん@13周年@転載禁止:2014/04/19(土) 14:28:34.21 ID:gx4t3eBV0
ネットによる不正引き出しとか
クレジットカードの不正使用とか
本人の過失ではなくSSLが解読されたことによる被害が多いんじゃないのか?

暗証番号表だって入力していくうちに表はうめられていくからな。
ある程度抜き取ったあとで不正引き出しされてる可能性もあるんじゃないのか?
48名無しさん@13周年@転載禁止:2014/04/19(土) 14:30:10.90 ID:Qr4F39Im0
> 三菱UFJニコス

三菱東京UFJの「東京」の部分はどこに消えたのか
49名無しさん@13周年@転載禁止:2014/04/19(土) 14:31:00.11 ID:k2K7u0pQ0
>>3
UFJな
50名無しさん@13周年@転載禁止:2014/04/19(土) 14:35:19.51 ID:JyD0isAk0
貴重なジョーズとETの個人情報が
51名無しさん@13周年@転載禁止:2014/04/19(土) 14:40:24.04 ID:gx4t3eBV0
オープンソースなんて、最初からこういう不正をやるために
仕組んでるんじゃないのか?
52名無しさん@13周年@転載禁止:2014/04/19(土) 14:43:35.41 ID:VDj1z/O70
ニコスは10年ぐらい前にも流出やらかしてなかったっけ?
53名無しさん@13周年@転載禁止:2014/04/19(土) 14:53:24.93 ID:JyD0isAk0
これから流出しそうなところからはさっさと移したほうがいいね
もう遅いか
54名無しさん@13周年@転載禁止:2014/04/19(土) 14:59:55.06 ID:gx4t3eBV0
無料メールにしても
検索やラインやら無料のサービスってのは、個人情報盗んだり
こういうふうに最後はカネまで盗もうとする壮大な詐欺のような気がしてきたわ。

発表される情報は氷山の一角で、実際にはどうなってるのか皆目分からんな。
勝手にネットでローン組まれたり、商品取り込まれたりした場合の補償なんか
どこまで適用されるのかも分からんし、個人で証明しろとか無理なことを要求し出すかもしれんな、この間抜けどもは。
55名無しさん@13周年@転載禁止:2014/04/19(土) 15:09:16.16 ID:0R/wRuJ80
      _____
    /       \
    /    古     ヽ
    /           ヽ    ■ 大金払って●を流出させた無能ストーカー晒し首103の公開処刑自己紹介乙です。 ■
   │  ニミ,  ∠ニ   │
    |_┌─‐‐ュ__r ‐─┐_ |    キチガイイライラMAX0168でワロタ東京都コピペ知障0007あげwwwwwww
  f''| 丶__'_゚"ハ 丶"゚_'_,イ |T   ストレス溜めにパソコン開いて601コピペする人生だもんなwwwwww消えろ日本橋!
    ト|     |        |ノ   ワタナベだか古着屋だか中央区惨めすぎて逆に興味あるわwwハマチョールートあげ
   |:|     (!___,!     |:|   http://i.iimgur.com/H8UH24e.jpg
    !:|  __/_ _ヽ__  l:リ
    \     ̄    /
       ' ー── '
56名無しさん@13周年@転載禁止:2014/04/19(土) 15:25:22.45 ID:WrSpoFOR0
>>39
暗号化ライブラリから自前かよw

そんなの書けるやつどれだけいるって言うんだ?
57名無しさん@13周年@転載禁止:2014/04/19(土) 15:29:18.36 ID:Z5rlEoxm0
なんかサーバーばっかり話題になってるけどルーターのソフトにもOpenSSLが
使われているのがあるんだが、そのあたりは大丈夫なんか?

YAMAHAは、該当不具合のあるOpenSSLは使用していないので大丈夫宣言を
出しているけどさ。
58名無しさん@13周年@転載禁止:2014/04/19(土) 15:36:02.93 ID:8+huw+Ve0
>>25
適当な事言うなよ
DB見られるわけじゃなくメモリ見られるだけだから見て無ければ問題ない
59名無しさん@13周年@転載禁止:2014/04/19(土) 15:38:41.44 ID:8+huw+Ve0
>>37
証明書取りなおしして入れなおしてサーバ再起動とかだから
会社によってはそんなすぐ対応できないよ
まぁ、金融機関はすぐやって欲しかったけど
60名無しさん@13周年@転載禁止:2014/04/19(土) 15:44:50.92 ID:Z5rlEoxm0
61名無しさん@13周年@転載禁止:2014/04/19(土) 15:45:49.48 ID:h2oEWVP+0
ジャックスから連絡来てたな
62名無しさん@13周年@転載禁止:2014/04/19(土) 17:30:10.52 ID:tRoWoj/D0
>>36
OpenSSLでメモリの内容が読み取られる所までは確かに痕跡は残らない。
読み取った情報を利用してさらに情報を取ろうと思ったら痕跡は残る罠。
63名無しさん@13周年@転載禁止:2014/04/19(土) 21:17:13.71 ID:TZ5Rxiu/0
うじゃうじゃ出てくるのか
64名無しさん@13周年@転載禁止:2014/04/19(土) 21:23:44.05 ID:EcNZRBi+0
さっきニコスからメール来た
【NICOS】美味しいワインを安く買うならMy Wine CLUBで!
もっと他に知らせることがあるだろ
65名無しさん@13周年@転載禁止:2014/04/19(土) 21:40:33.06 ID:JZrFWTBl0
DCカード大丈夫なのだろうか?
パスワード変更依頼メール未だこないし
66名無しさん@13周年@転載禁止:2014/04/19(土) 21:44:59.85 ID:M85LL72m0
MUFJダイレクトのトップページがめちゃ重いの何とかしろよ
67名無しさん@13周年@転載禁止:2014/04/19(土) 21:46:40.40 ID:Xr8zIYB20
>>66
偽物サイトは重いだろ
68名無しさん@13周年@転載禁止:2014/04/19(土) 23:37:26.09 ID:mX3XOWBmO
これキャッシュカードは問題ないんだよね
給料を手渡しでもらった世代だからクレジットカードは作りたくない
昔の女の影響で作ろうかと思ったが頑なに作らなかった
69名無しさん@13周年@転載禁止:2014/04/19(土) 23:44:11.46 ID:SJVXZFYA0
>>59
穴を突かれたのを確認してから、復旧まで1日で対応しているな。
担当者の意識が低すぎたか、やる気がなかったかのどっちかは
わからんが、「すぐ対応できない」という話ではないね。
単に放置していただけだろ。
70名無しさん@13周年@転載禁止:2014/04/20(日) 00:14:11.26 ID:pKWng+gC0
>>51
お前は本当にアタマが悪いなぁ

クローズドのWindowsはバグがないとでも思ってるの?
同じ不具合があっても監視の目も修正者もいないから、
MSが動かない限り修正されないままなんだが

そもそも今回の流出はパッチを当てないことによる管理者の怠慢。
ゼロデイ攻撃なんてクローズドのWindowsが何度も食らってる攻撃
ですが???
71名無しさん@13周年@転載禁止:2014/04/20(日) 02:37:45.45 ID:UpZ9WhqT0
三菱ともあろう者が、なんという手落ちw
72名無しさん@13周年@転載禁止:2014/04/20(日) 12:46:42.78 ID:Q3/Ukj2p0
>>37
ここだけじゃないよ
他も大量にやられている、海外では日本のサイトは脆弱だとハッキングを推奨する奴らまでいる
73名無しさん@13周年@転載禁止:2014/04/20(日) 12:56:28.19 ID:c51w+zqU0
ネット関係、PC関係以外の一般ニュースサイトじゃ、警察庁の
警告が出るまでほとんど報道すらしていなかったからね。
CNNやロイター、AFPといった海外のところは、翌日には大々的
に報じていたというのに。
74名無しさん@13周年@転載禁止:2014/04/21(月) 02:18:39.00 ID:Efw/67on0
トレンドマイクロからのアナウンス貼っておくよ
ttp://blog.trendmicro.co.jp/archives/8927

一般ユーザーができる事は、
・一般のユーザは、ご利用のサイトが脆弱性の影響を受けないことを確認した上で、オンラインアカウントのパスワードを変更することを検討して下さい。
・特に金銭に関係するアカウントに関しては、不審な動きがないかを監視して下さい。
・普段からお使いのブラウザが SSL証明書の失効検証を行っているかどうか、設定を確かめてください。
75名無しさん@13周年@転載禁止:2014/04/21(月) 11:16:18.25 ID:vm8y5B/u0
超超超重大な問題なのにほとんどニュースにしない
そして三菱が犯したのがこのザマだよ
76名無しさん@13周年@転載禁止:2014/04/21(月) 11:56:08.52 ID:EujbZiXc0
事がヤバすぎるから大々的に報道できないんだよ
ほとんどの企業が三菱UFJの事件を見てあわ食って対応しているはず
きちんとした報道がされてくるのは主要企業の対応が終わった来週以降じゃないかな
77名無しさん@13周年@転載禁止:2014/04/21(月) 15:39:13.06 ID:xAHjkFhl0
>>76

ハートブレイク攻撃できる頭のやつは
マスコミの報道量に関わらず情報手に入れてるんだから
積極的に対策含めて報道すべきだろ
重大だから報道しないは原発のときのミンスと同じ
78名無しさん@13周年@転載禁止:2014/04/21(月) 15:50:17.05 ID:xAHjkFhl0
チョンの沈没船伸びてこれが2ちゃんねるで伸びないのも問題だなw
79名無しさん@13周年@転載禁止:2014/04/22(火) 00:01:54.99 ID:oMSgdAEX0
>>77
> 重大だから報道しない
戦前からの「美しい国日本」の伝統だからね。
80名無しさん@13周年@転載禁止
>>71
やらかしたのはUFJの部分な