おしゃべり掲示板ポイットでお気軽おしゃべりを楽しもう

P
R

トップ
サービスで貯める

サービスからさがす
お買い物マラソン

ショッピング

ショッピングから探す
トラベル

トラベルから探す
モニター
アンケート

アンケート一覧
ミニゲーム

毎日貯める
6,000pt

友達紹介
掲示板
ゲソてん

ゲーム

ポイントタウン
> 掲示板
> ポイント
> ポイントサイトを語ろう
> GポイントをAamazonギフト券に不正交換される被害発生

GポイントをAamazonギフト券に不正交換される被害発生

犯行の推定時間は、昨日の昼頃から、本日行われた定期メンテナンス開始前(午前8時頃)まで。

Gポイントサイトに不正にログインした上、ポイントをAmazonギフト券に交換。

交換手続き終了時に画面上に表示されるAmazonギフト券番号を不正に入手し、
ただちにAmazon側へ登録。

本人が連絡メールを受け取った時には既に、ギフト券は登録不可(使えない)状況となっている模様。

Amazonギフト券への交換は490Gから可能。
パスワードの流出元はまだ不明。

Gポイントを貯めこんでいた人は特に要注意。早目の確認を。

関連ワード
Gポイント
被害
Amazon

投稿者：とっくさん

投稿日：2012/04/15 13:52:28

カテゴリ：ポイントサイトを語ろう閲覧数：39878
票数：26

このトピックに一票

受け付けました

「一票！」とは

「一票！」は、各トピックに用意されている機能です。
トピックを読んで「おもしろい！」「なるほどぉ」「他の人にも読んでほしい」など、共感できたら「一票！」ボタンをおしてください。
ユーザ登録不要・ログイン不要で使える機能なので、気軽にクリックできるのが特徴です。
票数の集計結果は、今後、注目トピック等の指針として利用されます。
サイトをみている人が、どのトピックに注目しているかを知るきっかけとして役立てていきます。

※誹謗中傷・不適当な書き込み等は、利用規約第10条に基づき、会員資格の取り消し等の処理を行なわせて頂く場合がございます。
※不適当な書き込みで誹謗中傷された本人、もしくは本人代理の方から削除依頼があった場合、状況確認のうえ削除手続きをとらせていただく場合がございます。

読み込み中...

PR 本広告はポイント獲得対象外です

【お知らせ】コメントへの返信機能がつきました。皆でコメントして盛り上がろう！

みんなのコメントコメント数：66件

Tungstenさん 2012/04/18 04:58:09

　　　　　　　　　,r"´⌒｀ﾞ`ヽ
　　　　　　　／　,　　　-‐- !､
　　　　　／　 {,}f　　-‐- ,,,__､) 　　　　ウホっ
　　　　／　　 /　　.r'~"''‐--､) 　　　　ウチは何も悪くない
　　,r''"´⌒ヽ{　　ヽ　▼ﾊ ▼}､　　　　ウチは正しい
　/　　　　　　＼　　（⊂｀-'つ）i-､ウチが全てにおいて絶対だ
　　　　　　　　　 `}. （__,,ノヽ_ﾉ,ﾉ　＼ウチが間違ってるなんてあり得ない
　　　　　　　　　　 l　　｀-" ,ﾉ　　　ヽウホホっ
　　　　　　　　　　 }　､､___,j''　　　　　 l

このコメントに返信する

ニックネーム

コメント

ファイさん 2012/04/18 12:12:16

念のためのリンクですが、「ポイントは回復の方向」の様ですね。
http://info.gpoint.co.jp/blog/2012/04/post-1f4b.html

ただ、現時点「弊社から流出した事実は確認されませんでした」となっていて、それが事実だとしますと、ユーザの側（端末）から「トロイの木馬」とかで漏れたということになると思いますが、果たして？

個人的には、再犯抑止の意味で「摘発」を重視してもらいたいと思います。

このコメントに返信する

ニックネーム

コメント

ファイさん 2012/04/18 12:34:20

少々補足いたしますと、むしろ私を含め今回被害に遭わなかった方で、ご自身の端末から情報が盗まれていたとすると、パスワードを変更したところで、潜在的にまだ危険は残されているということです。

このコメントに返信する

ニックネーム

コメント

ファイさん 2012/04/18 19:27:50

> おっかーさんさん。私はログインできます。

正確な原因がわからないうちにパスワードを不用意に変更すると、それに関連したものまで漏れる可能性が出てきますから、慎重にいかないといけないと思います。

このコメントに返信する

ニックネーム

コメント

ファイさん 2012/04/18 20:13:19

念のため、以下リンクの18日8:26生成と思われるpdfファイルの文面からすると、
http://info.gpoint.co.jp/blog/2012/04/418-1650-6f6d.html

「不正ログインが認められなかった」と判断されている方にはログイン規制がかかっていない様です。

なお、

※内部の関係者及び外部の第三者が弊社のデータベースにアクセスを行い、ID・パスワードを抜き取った証跡は確認されておりません
※ 不正アクセスが行われた期間において、G ポイントの登録ＩＤには存在しない文字列での大量のアクセスが確認されております

とあり、何らかの基本データを入手するとかを加えてランダムにアタックしたか、わかり切っていて後者がダミーのアタックかで、この状況詳細が最重要のキーになる様に思います。
（SCEの時の様に「サーバから漏れた」としてくれればまだ対策は容易ですが、現時点そうでは無いことより根が深いと思います）

このコメントに返信する

ニックネーム

コメント

ファイさん 2012/04/18 22:17:02

まさかと思いますが参考まで、もし万が一にでも該当する場合に最もヤバイ、シンプルなケースだけ記しておきます。

当該サイトのIDは、パターンが複雑化するメアドでは無い「6文字以上20文字以内の半角英数字」となっており、ご丁寧にID自体の大文字小文字が無いことで半分になり、逆にまずはそれがクラッカのアタックするIDの限定条件になります。
そして、パスワードが「パスワードを6文字以上36文字以内」となっています。

そこで今回の様なランダムアクセスで試される一番は、IDとパスワードが同じか大文字小文字の差か繰り返しの差で、6文字の組み合わせからどんどん試し、これで通ったIDを食い尽くすという手です。
（現時点でID＝パスワードは通らないものの（繰り返しは通る！）、初期は通ってそのままになっていたとか？＝とある大手銀行でさえ旧パス放置ですから）
パスワードの大文字小文字までやる必要が無かった？かもしれませんが、「忘れるので同じかそれ相当にしている」という方が意外とおられることで、注意が必要な場合があります。
あとはその後のサイト操作の敷居の高さ次第というシナリオです。

なお、登録後のサーバ側のデータから指摘できるとすれば、逆にそのことがセキュリティの無さを示してしまうため、ほぼ登録時にしかチェックがかけられないという裏事情？があり、当然ログからもわからないのが普通です。
（過去にこの類を指摘して墓穴を掘った金融機関があります）

当然@マークより前がパスワードと同じとかいったメールアドレスのIDとパスワードのセットもヤバイです。

当たっていなければゴメンナサイです。。。

このコメントに返信する

ニックネーム

コメント

ファイさん 2012/04/21 17:05:23

連投遅レスですが、気になトピですのでちょっと考察失礼いたします。

交換フローを覚えていませんので外しているかもですが、犯人は、自分のところに設定した後にご丁寧に元の振込先に戻したのでしょうかね？
被害者はログインできない様ですので、事務局しかわからないでしょうが、元に戻していないとするなら、かなりネット上の犯人を絞る材料になると思うのですが。。。
（戻したとしても、その前のデータがわかっていれば）

間接的にでもこの関連の捜査結果情報を開示して欲しいですね。
（再犯抑止の意味でも）