双方は無関係ですが、セキュリティの意味では同様。

1. Faithでクレジットカード情報一部、TWOTOPはIDとパスワード漏洩
2. GIGAZINEなど9月24日21時半頃から約3時間マルウェアを拡散

Faithでクレジットカード情報一部、TWOTOPはIDとパスワード漏洩

何が有ったのかはユニットコムが素早く特設ページを作っております。

「フェイス」「ツートップ」ネットショップへ不正アクセス発生のご報告とお詫び
http://www.unitcom.co.jp/info_0927/

2chでは確か中国の攻撃だとして騒いでいたような気がしますが、それはさておき説明の初めにユニットコムから解説が書かれております。誤魔化しても意味が無いため真実でしょう。

9月初旬より、（中略）会員情報データベースをフェイスサーバーに移管して保守作業を実施しておりました。そのため、フェイ スとツートップご利用のお客様の情報が流出する事態が発生致してしまいました。

長くなるため一部省略しておりますが、通販のみで現地購入は無関係。

しかし何故サーバー移管の保守作業に対して不正アクセスが関係有るのか。そこまでは書かれていませんが、ページ後ろ辺りに海外からFaithサーバーへ30万回以上の不正アクセス攻撃と書かれており関連性が不明。

以前流出したメッセサンオーのアダルトゲーム購入者情報漏れ事件のようなCGIがというレベルでは無いと思いますが、やり方（やられ方）を書くとまずいのでしょうな。

経緯が長いため要点のみ引かせてもらいます。

1. クレジットカード会社より情報漏洩の可能性有りとして調査依頼有り
2. クレジットカード番号、有効期限が閲覧された痕跡を確認
3. ツートップのログインID・パスワードが閲覧された痕跡を確認
4. フェイスのカード決済、ツートップのログイン機能を停止
5. 調査会社ラックの速報提示で流出した可能性があることを確認
6. フェイス管理クレジットカード情報を最大74,048件が流出の可能性
7. ツートップ管理のID、パスワード最大180,074件が流出の可能性
8. フェイスでクレジットカード情報流出の可能性有る顧客へ郵送で連絡中
9. ツートップでID・パスワード流出の可能性有る顧客へメール連絡中

内容と今後の対応より一部引用。

流出の可能性があるお客様

• フェイスで2008年6月26日～2010年8月17日にカード決済で購入
• ツートップで1999年6月29日～2008年9月10日に会員登録

ツートップのログイン機能は停止し悪用される可能性無し（？）

住所氏名などの漏れ具合は調査中。現時点で流出は確認されていない

流出の可能性あるカード番号は各カード会社に連絡を取り協議し対応予定

件数が何件だろうと規模を表すもので、私らが知りたい事は自分の情報が漏れたかどうか。私もフェイスで購入履歴有りカード決済していましたが、事前に対策済のため特にやる事はございません。

いずれも情報が特定されており、Faithはカード番号と有効期限、TWOTOPはログインIDとパスワードのみ。

現時点ではと念を押されていますが、名義やカード裏の番号、カードのパスワードが無ければ決済出来る所は少なく。IDとパスワードもログイン出来なければリスト丸ごと漏れたわけでは無さそうなので個人情報全部とまでは行かないでしょう。

万一、カードの不正利用が有ったとしてもユニットコムが止めるかカード会社が補償すると思われ問題なく、停止中なら良い対応。TWOTOPも同様です。

しかしユニットコムの書き方や内容は素晴らしい出来。

エプソンダイレクトのリコール大騒ぎもそうですが、どこまで重要として大袈裟に伝えるか。内容を簡潔に、連絡先を何度も表記するなど参考になります。何の参考にするかは知りませんが。

実際に漏れた部分もはっきり何度も書いており、現時点ではという条件付でユニットコムが何も隠していないとは言えませんが個人としては急いで何かする事も無いでしょう。

MCJからもリリース（注：PDF形式）が撒かれており天晴れでございます。

直結のマウスコンピュータでは不具合情報をプレスリリースまでしないものの、自社サイトで続々と上げており、この手の企業は個人的に信頼しております。

TWOTOPで購入した事が無く、有っても私は会員登録しないため無関係ですが、Faithは有り。メールの件名（Subject）は「ご注文内容の確認【（以下略」、差出人（From）は「フェイスインターネットショップ <shop@faith-go.co.jp>」です。検索する際にどうぞ。

クレジットカード番号を使い捨てる方法

JNB（ジャパンネット銀行）ではカード番号を使い捨てる事が出来るワンタイムデビットという無料サービス有り。10日で有効期限が切れる方法がございます。面倒ですが私は毎回これで決済。

ジャパンネット銀行:VISAクレジットカードとワンタイムデビットの違いは？
http://www.japannetbank.co.jp/service/payment/cardless/compare_1.html

JNBに普通口座が必要で上限10万円（以下にも設定可能）、PayPalや一部通販では使えないなど不便な面も有るものの、手間な以外は支障無し。JNB口座が有るならお勧めです。無いなら口座維持手数料とか妙なシステムが有るため作る際はご注意有れ。

個人情報に偽情報を書いて発送してもらう方法

通販で購入する際、住所、氏名、電話番号は正確に書かなければまずいものの、限りなく嘘に近い事も出来ます。

電話番号は子番号を付けて発信番号通知が無いものは着信拒否にして知らない番号は出なければ結構。月数百円のオプションで行けるかと。PHSは2年縛りで月10円契約など有り専用電話も粋です。

氏名を誤魔化す方法は最も安全かつ簡単なやり方は同居している親に頼んで名前を貸してもらう事。徐々にグレーかつ危険になりますが、姓を正しく名は適当でも大抵届きます。どちらも変えるならA様方、B宛としてAに本名の姓のみとしBは架空の下宿人として。もっと言えば、表札の下に屋号（明日素商事　C山D夫）など書けば全部偽名でも届きます。

住所は難しいので郵便局留め、宅配なら営業所留めとして宅配業者へ「不在が多いので預かってくれ」と着日を言えば預かってくれます。受け取りの際に身分証明が要るので偽名とは同時に使えず工夫が要るでしょう。郵便や宅配へ転居届けを出して全く違う住所から転送してもらう手も有りますが、届かないかも知れないためお勧めはしません。

ポイントは有効期限や購入頻度を考えて捨てる

私が会員登録しており個人情報を預けている企業はドスパラとツクモの2種類。Faithやソフマップでも買いますが、年に1度有るかどうか。Faithはポイントがしょぼいため毎回ゲスト購入しています。

ゲストなら個人情報を保存されないという意味では無く、IDとパスワードさえ判れば誰にでも購入履歴まで見られる状態が嫌だという考え方。

ポイントの有効期限や購入頻度、金額からポイントの溜まり具合を考えて大した額にならないならBTOメーカーに数円や数十円分寄付、または個人情報保守費用として会員登録しない考え方も有りましょう。

私は100円を超えそうなら問答無用で登録します。

余計な事も書きましたが、クレジットカード決済するならカード毎に用途を分け、ライフライン用、オフライン用、オンライン用と三種類が得策。

今回のようにFaithがやらかしたならオンライン用のカードの停止を連絡すれば、その日にカード会社が止めてくれます。電気代やプロバイダまで止まってはしゃれにならない。

但し、カード枚数が増えると枠の合計も上がり、総額が借金と見なされてローンなど通りにくかったり減額されるため作り過ぎにはご注意を。

汚いやり方ですが、ポイントバックやアフィリエイトの自己購入OKからカードを作り、通販で使い支払った後、数ヶ月で契約解除も有りと言えば有りでしょう。もちろんお勧めはしません。

GIGAZINEなど9月24日21時半頃から約3時間マルウェアを拡散

先のユニットコムとは全く関係無く、こちらはマルウェア（Wikipedia）を撒いていたというお詫びなのか何なのか良く解らない記事。 

偽セキュリティ感染、原因はマイクロアド広告サーバへの攻撃-GIGAZINE
http://gigazine.net/index.php?/news/comments/20100927_security_tool/

ユニットコムの緊急お客様センターとした特設ページでは明らかにプロの仕業と思われるページ作りでしたが、GIGAZINEのお詫びと思われる文は初めのここだけ。

もう少し早くこちらで特定できればもっと早くに非表示にして被害を抑えることができたのですが、これが限界でした、非常に申し訳ないです。

（中略）

もっと早くこのことに気づくことができれば被害を抑えることができたのにと思うと、非常に悔しいです。

以前、デジタルマガジンが改ざんされGamblerを撒いていた事を思い出しますが、デジマガも当初は攻撃者が悪い、悔しいなど書いており、意図せずとも仲介した事には変わりなくお詫びは？と聞いた所、正式に文章が出され私が勝手に納得。

少しでも非が有るなら認めて詫びて経緯を報告、対応が書かれ今後の対策が書かれる事が普通と思いますが、ややずれている気がします。

そして余計な事も書いている件。

今回の件は広告を表示していた各サイトが乗っ取られたわけではなく、それぞれのサイトで表示していた広告配信サーバが乗っ取られたのが原因なのですが、そ のことが一般の利用者には理解できず、「RT希望！～～のサイトを絶対に見ないで下さい！ウイルスに感染します！」みたいなデマもあっという間に Twitter上で広まりまくるという事態に発展してしまいました。

訪問者から見るならデマでは無いし、一般の利用者が理解出来ない内容というなら簡潔にアクセスするなと告知は親切。

被害を拡大しないためにtwitterで広めてくれてありがとうと書けない（そういう発想が出来なかった）GIGAZINE編集者にガッカリです。

確かに悪いのは攻撃者なので今後もネタは引かせてもらいますが、金勘定のし過ぎで信頼を落としていると言えましょう。

しかしGIGAZINEただではこけない。どうしたら良いか対処法がいつも通り画像入りで解りやすく説明されております。既にマイクロアドの広告は止まっているらしく、マイクロアド側も対処したらしいので、心配ならリンク先を御参照有れ。

上記の時間帯以外でも特にIEでアクセスしているなら感染の可能性有り。

オンラインは不正アクセスや情報漏えい前提で運転中

所詮人間が作った物を人間が操作しており、完璧なセキュリティや不正対策は無いと思った方が良いという意味にて。

実は当サイトでも以前罠に掛かった事が有り、大変申し訳無く悔しいのですが、アクセスカウンターにマイクロアドの行動追跡と思われるcookieが仕込まれていた事が判明。随分前に一ヶ月くらい表示していた過去一週間分のカウント。

i2i無料『アクセスカウンター』
http://count.i2i.jp/

Flashのこんなやつです。

microadへ送信すると思われるcookie、3ヶ月有効。

運営はエムフロというマーケティング屋。

害は無く、Yahooなど大手サイトでもMicroadの行動追跡型広告やクッキーは有るものの、無料で有れ利用するサイト管理者に隠している時点で気に入らず取り外し。まさかアクセスカウンターに仕込まれているとは思わず驚きました。

これを言い出すとGoogleやYahooのコンテンツ広告も似たようなものですが、管理者の知らない動作をするという事は悪意有る作業も出来てしまうとして。別の言い方をすると、私がマイクロアドのやり方が気に入らないだけです。

マルウェアばらまきサイトは即エラー出して停止が正解

セキュリティに完璧は無く、暗号化も64bitが128bitになろうとコンピューターの進化で追い着かれ更に強化せざるを得ず。日本企業の雇われより世界のクラッカーの方がレベルは高いと思えば改ざんはどこでも有り得る話。

GIGAZINEはもう一つミスをしており、マルウェアを撒いていた時間帯に運営を止めていない事。感染の疑いは21時半頃。判明した時刻が23時59分、削除が0時27分と有り、せめて23時59分からでも全ページの公開を停止するが最善。

判っていて30分近く放置していたという事は、当サイトが同時間帯30分間100人以上の訪問が有るためGIGAZINEなら1000や2000人ではきかないでしょう。

もし当サイトが改ざんなどされた場合は、私または手伝っている業者が気付いた時点でメンテナンス中（503　Service Unavailable）を返すので何が有ったかはtwitterにてお詫びとか悔しいですとか書いてみます。

アクセス増でも自動で503を返してしまうため、炎上やメジャーサイトからリンクされているかも知れませんが、更新に疲れて故意にエラーを出して遊びに行っているかも知れません。

探さないで下さい。

関連記事

• Windows 10の名前、ずっとそのままでいいの？調査
• テンキーいらなくね？横一直線打ちの方が速い？など
• メモリ4GBはなぜダメなのか？8GBのPCと対決など
• お前らのパソコン何秒で立ち上がるか調査にご協力を
• デスクに後付できる格安キーボード用スライダーなど
• マウスは無線と有線どちら派？アンケートにご協力を