「クレジットカード」カテゴリーアーカイブ

「これ絶対あかんやつや」クレジットカード会社のDMで送られてきたリボ払いとキャッシングの案内が破産不可避 – Togetter

「これ絶対あかんやつや」クレジットカード会社のDMで送られてきたリボ払いとキャッシングの案内が破産不可避 - Togetter

「これ絶対あかんやつや」クレジットカード会社のDMで送られてきたリボ払いとキャッシングの案内が破産不可避 - Togetter

わりと伸びたので宣伝させてください。 STYLYというVR空間を作る最高にクールなプラットフォームがあるので興味あれば触ってみてください。 無料&ブラウザで操作可能です。ギャラリーから作品見るだけでも楽しいですよー。 gallery.styly.cc

はてなブックマーク - 「これ絶対あかんやつや」クレジットカード会社のDMで送られてきたリボ払いとキャッシングの案内が破産不可避 - Togetter はてなブックマークに追加

突然ニンテンドーアカウントが凍結した – Togetter

突然ニンテンドーアカウントが凍結した - Togetter

突然ニンテンドーアカウントが凍結した - Togetter

[荒れてた理由] ニンテンドーアカウントが凍結される。 アカウント停止に関するメールは届いていなかったため、停止直前にゲームを買ったりオンライン契約を更新したがそれが無駄になった。 BAN理由について私に過失は一切無い(任天堂了承済み)が、凍結解除や補填はできない。どういうことなのか?

はてなブックマーク - 突然ニンテンドーアカウントが凍結した - Togetter はてなブックマークに追加

突然ニンテンドーアカウントが凍結した – Togetter

突然ニンテンドーアカウントが凍結した - Togetter

突然ニンテンドーアカウントが凍結した - Togetter

[荒れてた理由] ニンテンドーアカウントが凍結される。 アカウント停止に関するメールは届いていなかったため、停止直前にゲームを買ったりオンライン契約を更新したがそれが無駄になった。 BAN理由について私に過失は一切無い(任天堂了承済み)が、凍結解除や補填はできない。どういうことなのか?

はてなブックマーク - 突然ニンテンドーアカウントが凍結した - Togetter はてなブックマークに追加

低収入廃課金者の思考と末路 – DLチャンネル みんなで作る二次元情報サイト!

低収入廃課金者の思考と末路 - DLチャンネル みんなで作る二次元情報サイト!

低収入廃課金者の思考と末路 - DLチャンネル みんなで作る二次元情報サイト!

This is my Rifle! This is my Gun!(ドールズフロントライン) 新たなソシャゲが出たぞ!新たなソシャゲが出たぞ! こいつは海外で大人気!こいつは海外で大人気! キャラが可愛い!キャラが可愛い! カーチャン達には内緒だぞ!カーチャン達には内緒だぞ! キャラが可愛い!キャラが可愛い! シミュレーションRPG ドール...

はてなブックマーク - 低収入廃課金者の思考と末路 - DLチャンネル みんなで作る二次元情報サイト! はてなブックマークに追加

低収入廃課金者の思考と末路 – DLチャンネル みんなで作る二次元情報サイト!

低収入廃課金者の思考と末路 - DLチャンネル みんなで作る二次元情報サイト!

低収入廃課金者の思考と末路 - DLチャンネル みんなで作る二次元情報サイト!

This is my Rifle! This is my Gun!(ドールズフロントライン) 新たなソシャゲが出たぞ!新たなソシャゲが出たぞ! こいつは海外で大人気!こいつは海外で大人気! キャラが可愛い!キャラが可愛い! カーチャン達には内緒だぞ!カーチャン達には内緒だぞ! キャラが可愛い!キャラが可愛い! シミュレーションRPG ドール...

はてなブックマーク - 低収入廃課金者の思考と末路 - DLチャンネル みんなで作る二次元情報サイト! はてなブックマークに追加

10月1日より「Kyashポイント」がスタート。同時にキャッシュレス・消費者還元事業によるポイント還元… – Kyash NEWS

10月1日より「Kyashポイント」がスタート。同時にキャッシュレス・消費者還元事業によるポイント還元... - Kyash NEWS

10月1日より「Kyashポイント」がスタート。同時にキャッシュレス・消費者還元事業によるポイント還元... - Kyash NEWS

2019年10月1日より、ポイントプログラム「Kyashポイント」がスタートします。 リアルカードをお持ちの方は、決済金額の1%(一部除く*)のポイントがリアルタイムに付与され、1ポイントからすぐに使えます。 また、同日に経済産業省が主導する「キャッシュレス・消費者還元事業」もスタートしますので、対象加盟店でのご...

はてなブックマーク - 10月1日より「Kyashポイント」がスタート。同時にキャッシュレス・消費者還元事業によるポイント還元... - Kyash NEWS はてなブックマークに追加

最近流行りのWebスキミングについて調べてみた – SSTエンジニアブログ

最近流行りのWebスキミングについて調べてみた - SSTエンジニアブログ

最近流行りのWebスキミングについて調べてみた - SSTエンジニアブログ

こんにちは!もう新卒エンジニアとは言えなくなった西尾です!(社会人2年目) 最近、世界的に流行っているWebスキミングについて調べていたのですが、意外と日本語の情報が少なかったので、今回はWebスキミングについて調べた内容をブログにまとめてみました。 Webスキミングとは 2種類の攻撃手法(+1おまけ) 標的型攻...

はてなブックマーク - 最近流行りのWebスキミングについて調べてみた - SSTエンジニアブログ はてなブックマークに追加

最近流行りのWebスキミングについて調べてみた – SSTエンジニアブログ

最近流行りのWebスキミングについて調べてみた - SSTエンジニアブログ

最近流行りのWebスキミングについて調べてみた - SSTエンジニアブログ

こんにちは!もう新卒エンジニアとは言えなくなった西尾です!(社会人2年目) 最近、世界的に流行っているWebスキミングについて調べていたのですが、意外と日本語の情報が少なかったので、今回はWebスキミングについて調べた内容をブログにまとめてみました。 Webスキミングとは 2種類の攻撃手法(+1おまけ) 標的型攻...

はてなブックマーク - 最近流行りのWebスキミングについて調べてみた - SSTエンジニアブログ はてなブックマークに追加

『一回払いで』と言ったのに自動的に“リボ払い”になるシステムが導入されているクレジットカードがある!?「ちょっと何言ってるかわかんない」 – Togetter

『一回払いで』と言ったのに自動的に“リボ払い”になるシステムが導入されているクレジットカードがある!?「ちょっと何言ってるかわかんない」 - Togetter

『一回払いで』と言ったのに自動的に“リボ払い”になるシステムが導入されているクレジットカードがある!?「ちょっと何言ってるかわかんない」 - Togetter

@nyamu624 第2回以降は手数料をとるとなると、消費者側でアクションを起こさないと、手数料が知らない間に徴収されることになるのですものね。。。

はてなブックマーク - 『一回払いで』と言ったのに自動的に“リボ払い”になるシステムが導入されているクレジットカードがある!?「ちょっと何言ってるかわかんない」 - Togetter はてなブックマークに追加

脆弱なAWS S3侵害によるユニクロオーストラリアの入力フォーム改ざんについてまとめてみた

Netcraftは、2019年5月13日頃にユニクロのオーストラリア向けオンラインショップが改ざんされ、画面上で入力する様々な情報が外部へ流出する可能性があったと報告しました。データの送信先や改ざんの手口から、RiskIQなども発表していたmagecartによる攻撃を受けたとみられます。
その後レポートは更新され、ファーストリテイリングより提供を受けた情報を元に、実際にはカード情報を含む顧客データが盗まれた可能性は低いと訂正されました。ここでは関連する情報をまとめます。

ユニクロオーストラリアの侵害

  • 2019年8月29日、Netcraftが調査レポートを公開した。

news.netcraft.com

  • Netcraftが事態を認知したのは2019年5月18日。
  • オンラインショップ利用者の情報が影響を受ける可能性があった。
  • 発表当初はカード情報が必ず窃取される報告だったが、その後その可能性は低いとして訂正されている。
  • 原因は入力フォームの情報を読み取ろうとする難読化されたスクリプトが挿入されていたため。
  • すべてのリソースに難読化されたコードを埋め込まれていたとされる。
  • 当該サイトはAWSのCloudfrontより配信されるファイルを読み込んでおり、S3 bucketsに格納されたデータが改ざんされたとみられる。
  • S3のACLの設定が誤っており、全てのユーザーがBuckets内のファイルを変更できた。
  • Netcraftの調査では他にguardianやhuffpostも影響を受けていたとみられる。ただし、スキミングコードはscriptタグに挿入されることを想定された実装であり、2つのサイトではiframeタグに挿入されたためコードが表示されたのみで動作はしなかった。
  • 同サイト上ではこの侵害に関する公式の報告は確認できず。(piyokango調べ)

Netcraftのレポートに事実誤認

  • 9月2日、5日にNetcraftのレポートが更新された。
  • ファーストリテイリングの調査に基づき、顧客情報が外部へ流出した可能性は低い(unlikely)と訂正された。

f:id:piyokango:20190906022529p:plain
Netcraftとファーストリテイリングの間で行われたやり取り

2社の調査内容、見解を整理すると以下の通り。

Netcraftが把握した事実 FRの調査・見解
購入フォームにスキミングコードが挿入、および実行された カード入力フォームはiframe内に存在し、スキミングコードの収集対象には含まれない
カード入力フォーム以外にカード番号を入力した場合*1、カード情報が外部へ流出する恐れ 過去数年の購入履歴を確認し、窃取のトリガーとなる他入力欄へのカード番号入力記録は確認されなかった

f:id:piyokango:20190906021825p:plain
カード入力フォームはiframe内に存在

改ざんの手口

f:id:piyokango:20190906023337p:plain
脆弱なS3侵害を通じたフォーム改ざんの流れ
Netcraft等の調査により、ユニクロオーストラリアの侵害は次の手口により行われたとみられる。

  1. 第三者が自由に変更できるAWS S3 bucketsを探査
  2. 手当たり次第にスキミングコードを含むスクリプトを追加
  3. 運よく入力フォームに影響を及ぼすスクリプトの挿入に成功
  4. 購入者が特定のフォーム上でカード番号を入力すると様々な情報が送信される恐れ

magecartによる手口

  • RiskIQが誤って設定されたAWS S3 Bucketsを介して大量のWebサイトが侵害されていると報告
  • 同社の調査では2019年4月初旬頃から少なくともこの手口による侵害が始まっていた。
  • 侵害対象数はドメイン数だけで見ると17,000件以上、Alexaランキング上位2000のサイトも含まれていた。
  • スキミングコードは大量の拡散には成功したものの、実際には支払いページで読み込まれる事例は多くなく、そのやり口からShotgun Approachと同社に表現されている。
  • VISAは2019年8月のレポートでこれらの事例を取り上げ、対策のベストプラクティスなども記載している。
  • magecartはカードスキミングを行う少なくとも7つのサイバー犯罪のグループ。今回の手口はGroup 7によるものとみられている。

日本国内の被害事例

同手口により改ざんされた(攻撃に失敗し、スキミングコードが露呈した)とみられる事例が報告されている。

IoC

不正なスクリプトの接続先の一覧としてNetcraft、RiskIQの記事に書かれていたものは以下の通り。

ww1-filecloud[.]com(2019年1月30日登録)
font-assets[.]com(2019年4月22日登録)
cdn-c[.]com(2019年5月13日登録)
cdn-imgcloud[.]com(2019年5月16日登録)
wix-cloud[.]com(2019年5月17日登録)
js-cloudhost[.]com (2019年5月17日登録)

更新履歴

*1:厳密にはカード番号に合致する正規表現に一致する場合

「成人誌販売はクレカ決済NG」 突然の通達で利用者困惑、与党議員も問題視 : J-CASTニュース

「成人誌販売はクレカ決済NG」 突然の通達で利用者困惑、与党議員も問題視 : J-CASTニュース

「成人誌販売はクレカ決済NG」 突然の通達で利用者困惑、与党議員も問題視 : J-CASTニュース

大手の同人誌通販サイトで、成人向け書籍のクレジットカード決済ができなくなった。理由はカード決済代行会社がサイト運営会社に要請したためだ。 利用者の間では動揺が広がり、与党議員も「どんな内容物でも自由に買える世界と状況を確保しないといけない」と訴える。 翌日までに取り扱い中止しないと... ある大手通販...

はてなブックマーク - 「成人誌販売はクレカ決済NG」 突然の通達で利用者困惑、与党議員も問題視 : J-CASTニュース はてなブックマークに追加

「成人誌販売はクレカ決済NG」 突然の通達で利用者困惑、与党議員も問題視(J-CASTニュース) – Yahoo!ニュース

「成人誌販売はクレカ決済NG」 突然の通達で利用者困惑、与党議員も問題視(J-CASTニュース) - Yahoo!ニュース

「成人誌販売はクレカ決済NG」 突然の通達で利用者困惑、与党議員も問題視(J-CASTニュース) - Yahoo!ニュース

大手の同人誌通販サイトで、成人向け書籍のクレジットカード決済ができなくなった。理由はカード決済代行会社がサイト運営会社に要請したためだ。 利用者の間では動揺が広がり、与党議員も「どんな内容物でも自由に変える世界と状況を確保しないといけない」と訴える。 ■翌日までに取り扱い中止しないと... ある大手通販...

はてなブックマーク - 「成人誌販売はクレカ決済NG」 突然の通達で利用者困惑、与党議員も問題視(J-CASTニュース) - Yahoo!ニュース はてなブックマークに追加

COMIC ZINから成年向け作品(同人・商業問わず)を通信販売での取扱い停止通達、クレカ代行会社からの要請があった模様 – Togetter

COMIC ZINから成年向け作品(同人・商業問わず)を通信販売での取扱い停止通達、クレカ代行会社からの要請があった模様 - Togetter

COMIC ZINから成年向け作品(同人・商業問わず)を通信販売での取扱い停止通達、クレカ代行会社からの要請があった模様 - Togetter

ざっくりとまとめを。 要は海外のクレカ決済代行会社から「ウチの関わる方法でエッチなの売買してんじゃねーよ」と言われたって事ですね。 これがZINだけに向けての要請なのか、今後同業別会社に波及するかは未定ですが、最悪販売環境が大きく変わりそうなカンジですね…。

はてなブックマーク - COMIC ZINから成年向け作品(同人・商業問わず)を通信販売での取扱い停止通達、クレカ代行会社からの要請があった模様 - Togetter はてなブックマークに追加

【2019年最新版】高還元率クレジットカードのまとめ

【2019年最新版】高還元率クレジットカードのまとめ

【2019年最新版】高還元率クレジットカードのまとめ

こんにちは、らくからちゃです。 セブンイレブンがPayPay、LinePay、メルペイで101円以上の決済をするたび100円のポイント還元を行うQR決済3社合同キャンペーンをはじめてから、毎日それぞれ順番に使ってお買い物をしています。完全に乗せられていますね(゚д゚) QR決済も普及が進んできましたが、まだクレジットカードしか...

はてなブックマーク - 【2019年最新版】高還元率クレジットカードのまとめ はてなブックマークに追加

【2019年最新版】高還元率クレジットカードのまとめ

【2019年最新版】高還元率クレジットカードのまとめ

【2019年最新版】高還元率クレジットカードのまとめ

こんにちは、らくからちゃです。 セブンイレブンがPayPay、LinePay、メルペイで101円以上の決済をするたび100円のポイント還元を行うQR決済3社合同キャンペーンをはじめてから、毎日それぞれ順番に使ってお買い物をしています。完全に乗せられていますね(゚д゚) QR決済も普及が進んできましたが、まだクレジットカードしか...

はてなブックマーク - 【2019年最新版】高還元率クレジットカードのまとめ はてなブックマークに追加

三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース

三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース

三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース

クレジットカード大手の三井住友カードは、会員向けのスマートフォンアプリに不正なアクセスがあり、およそ1万6700件で不正なログインがあった可能性があると発表しました。 クレジットカードが悪用されるなどの被害は確認されていませんが、利用者の氏名や利用明細が閲覧された可能性があるということです。

はてなブックマーク - 三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース はてなブックマークに追加

三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース

三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース

三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース

クレジットカード大手の三井住友カードは、会員向けのスマートフォンアプリに不正なアクセスがあり、およそ1万6700件で不正なログインがあった可能性があると発表しました。 クレジットカードが悪用されるなどの被害は確認されていませんが、利用者の氏名や利用明細が閲覧された可能性があるということです。

はてなブックマーク - 三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース はてなブックマークに追加

7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱 | ビジネスジャーナル

7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱 | ビジネスジャーナル

7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱 | ビジネスジャーナル

「セブンペイ HP」より 7payでの「クレジットカードからの不正チャージ」事件は、史上まれに見る「ずさんなセキュリティ」が背景にあることがわかってきました。被害者インタビューから考えると、セブンイレブンからの情報漏えいの可能性を考えなければなりません。 決済業界の中の人・めるかば氏も被害 7payの事件では...

はてなブックマーク - 7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱 | ビジネスジャーナル はてなブックマークに追加

7payの不正利用についてまとめてみた

セブンイレブンで開始されたスマートフォン決済サービス「7pay」で、セブン&アイホールディングスは2019年7月3日頃より不正利用が発覚したと発表しました。ここでは関連する情報をまとめます。

公式発表

セブン&アイHD/セブン・ペイ

不正利用の状況

不正アクセスを受けた人数 約900人(7/4)
⇒1574人(7/16)
⇒807人(7/30)
不正利用された金額試算 約5580万円(推定値)(7/4)
⇒3240万688円(7/16)
⇒3860万5335円(7/30)
7pay登録者数 約150万人(開始後3日間)

(2019年7月11日17時時点の状況、セブン&アイHD発表*1

  • 被害金額はセブンイレブン店舗での購入金額。
  • 利用者からの不正利用被害申告の金額、モニタリング調査の結果から算出。
発生事象とその対応
発生事象 セブン&アイの初期対応 3報発表の対応一例 セブン&アイ発表の原因一例
アカウント不正ログイン ID/PW管理について注意喚起
使いまわしパスワードの変更呼びかけ
海外からのアクセスを遮断。
2段階認証の導入 推測可能なID/PWを利用。
第三者による登録済クレジットカードからの入金 すべてのチャージ方法の一時停止。*2 入金1回あたりの上限額見直し 登録時の認証情報がログインに使う文字列と同一
入金したお金のセブンイレブンでの不正利用 顧客へ警察への被害届を出すように促す。
身に覚えのない利用履歴がある場合の連絡窓口設置
カード会社への速やかな連絡のお願い
不正利用された被害の全額を保証
監視要員を4人から20人に増強*3
横断的・包括的セキュリティ設計コンセプト見直し
  • 別端末でアプリにログイン後は元のログインしていた端末はログアウトされる。*4
  • 不正利用被害者への取材では「過去に利用したパスワードを使っていた」と回答している。*5
  • 7payへすでに入金済みの金額は引き続き利用可能。
  • 不正利用連絡後にアカウントが停止されると詳細は利用者側で履歴等閲覧は不可となる。*6

発覚の経緯

  • 顧客からの問い合わせを受けて不正利用の事態を発覚。*7
  • 問い合わせを受けたのは2019年7月2日。不正利用の事態認知は3日朝。
  • 当初コールセンターへ問い合わせしても同様の被害はないとし、カード会社、警察へ相談を促されていた。*8
日時 出来事
2019年7月1日 7payのサービス開始。
2019年7月2日 7payに対して海外のIPアドレスからアクセスが発生し始め。
同日 セブン・ペイへ身に覚えのない取引があったとの問い合わせ(第一報)
同日夜 7payの不正利用報告がSNS上で上がり始める。
2019年7月3日朝 セブン&アイHDが不正利用を認知。
同日 10時半 7payへの海外からのアクセスを遮断。
同日 午前中 不正利用対応のサポートセンターの設置
同日 午前中 セブン・ペイがID/PW管理の注意喚起を発表。
同日16時以降 7payへのクレジット・デビットカードからの入金を一時停止。*9
2019年7月4日 9時頃 7payのコールセンターをフリーダイヤルへ切り替え
同日 14時 セブン・ペイが不正利用に関する記者会見。
同日14時以降 7payへのすべてのチャージの一時停止。*10
同日以降 7payへの新規登録一時停止。
2019年7月5日 経済産業省が決済事業者等に対し不正利用防止のためのガイドライン徹底を要請。
同日 経済産業省がセブン&アイHDへ原因究明や再発防止策の策定を要請。*11
同日 セブン&アイHDが対策強化と新組織発足を発表。
2019年7月8日 金融庁がセブンペイに対し資金決済法に基づく報告徴求命令。*12
2019年7月11日 17時 外部サービス5種類からのアプリサービスログインを一時停止。
2019年7月16日 セブン&アイHDが7payの正確な被害金額を算出し公表。
2019年7月中旬 これ以降、新たな被害の確認はされていない。
2019年7月30日 セブン&アイHDが7iDに登録された利用者のパスワード一斉変更を実施。被害金額の最新のデータを公表。
2019年8月1日 セブン&アイHDが7payのサービス終了を発表。
2019年8月19日 nanacoポイント、チャージ残高不正利用の被害を受けた人に補償を開始。
2019年9月30日 7payサービス終了予定

7月4日の記者会見でのまとめ

(1)不正利用への対応
  • 一連の対応について対応が遅れたとの認識はない。
  • 被害を受けた利用者の特定を最優先で進めている。被害者側からセブン・ペイへの連絡は必須ではない。
  • 警察へは通報済み。被害届は出す予定で検討している。
  • 再開時期は未定。利用者への迷惑を考え、速やかに再開。
  • 不正検知で当初は海外(調査中だが中国からなど)からのIPを検知しこれを遮断した。
  • 不正購入された商品は調査中でタバコ以外は現時点で把握できていない。
  • Amazonギフト券なども購入できるが把握していない。
  • 加盟店などに対して大量購入を停止する措置はとっていない。顧客を鼻から犯人と疑えないため。
(2)入金済み金額の不正利用リスクへの考え方
  • セブン・ペイができる安全策をすでに行っている。
  • 顧客利便性とのバランスからの継続利用を可とする経営判断。
  • カードからの入金一時停止で不正利用が相当数減っている。
  • 不正検知するシステムを導入している。
  • カードからの入金上限は1回10万円。1日3回まで。(合計30万円)
  • 万一被害が出た場合は全額補償の方針する。
  • 警察へ被害届を出すことが補償を受けるための基本的なプロセス。(これについては他に方法がないか検討中)*13
(3)事前のセキュリティ対応
  • 数社の協力会社と共同し7payのシステムを開発した。
  • サービス、アプリ開始時点でセキュリティ診断を行っている。
  • 7payでは何度もテストし安全面、脆弱性は指摘をされていなかった。
  • システムのリリース優先でセキュリティをおざなりにしたわけではない。
(4)発生原因について
  • 7月4日時点でセブン・ペイ側からの情報流出により発生したものではないという認識。
(5)SNS上で指摘されている問題への考え方
  • SNS上で指摘の上がっている問題について詳細までは把握していない。
  • 専門家を雇って調査する予定。改善すべきところは進めている。
  • セキュリティが甘い等の様々指摘を受けているが、利便性とのバランスと考える。
  • Web(オムニ7)側は直近1週間での特異なアクセスは認められていない。
  • 個人情報が流出したかどうかを含め現在も調査を進めている。
  • スマートフォン利用者を想定し、キャリア用メールアドレスが使えなくなることを想定して、パスワード変更通知先を別アドレスへ送れるつくりとした。
  • 自己入金分の補償無しの規約について顧客の意思と関係なしにお金の動きが生じれば特定後に保証を含め個別対応となる。

7月30日に行われたパスワード一斉リセット

  • 2019年7月30日 13時~16時にかけて7iDユーザーのパスワードが一斉にリセットされた。
  • 対象者数は約1650万人。
  • 7月30日時点で外部への情報流出などの被害は確認されていない。
  • パスワードリセット後は複雑な文字列にしなければ設定できない。

店舗への支援

  • 7pay対応に追われた店舗側へのお詫びとして1万円のクオカード配布の方針。*14

関連記事

事案発生を受けての見解・コメント
その他7pay問題発覚当時*15SNS上で報告の上がっていた問題
  • Web(オムニ7)からパスワード変更後もアプリでログアウトされない。*16
  • iOS版会員登録時に生年月日を登録無しとした場合に2019年1月1日が自動入力され、未登録者は実質的に生年月日抜きにパスワードリセットができる。*17
  • メールアドレスを勝手に登録でき、登録確認が行われない。*18
  • オムニ7で登録している個人情報が盗み見られた可能性がある。*19
  • 生年月日、電話番号、会員IDでパスワードリセットができる*20
  • パスワードリセットの問題への対応が不十分。*21
  • 退会理由に改行コードが含まれると退会ができない。*22
  • 第三者による7payへのチャージがチャットを通じて可能だった。*23

更新履歴

  • 2019年7月4日 AM 新規作成
  • 2019年7月5日 AM 続報反映
  • 2019年7月6日 AM 続報反映
  • 2019年7月12日 PM 続報反映
  • 2019年7月17日 AM 続報反映
  • 2019年7月30日 PM 続報反映
  • 2019年8月2日 AM 続報反映
  • 2019年8月17日 AM 続報反映
  • 2019年9月1日 AM 続報反映

*1:7pay不正、確定被害は1574人、総額3240万688円と公表。7月中に対策公表へ | BUSINESS INSIDER JAPAN

*2:7月3日まではクレジット・デビットカードからのチャージを一時停止としていた

*3:セブンが2段階認証導入を発表,産経新聞,2019年7月5日

*4:https://twitter.com/integra/status/1146243205333016576

*5:セブンペイ不正利用、被害男性「もう少し注意喚起してもらえていたら」,毎日新聞,2019年7月3日

*6:

*7:セブンペイで不正アクセス 身に覚えない入金通知届く,朝日新聞2019年7月3日

*8:「7pay」登録当日に被害「安心していた」,NHK,2019年7月5日

*9:7pay“パスワード変更を” 「覚えのない取り引き」相次ぐ,NHK,2019年7月3日

*10:「7pay」900人に不正アクセス 被害5500万円か,NHK,2019年7月4日

*11:セブンペイのポイント還元参加認めない可能性も 経産省,朝日新聞,2019年7月5日

*12:セブンペイ不正アクセス問題、金融庁が報告命令,朝日新聞,2019年7月12日

*13:「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識” ,ITmedia,2019年7月4日

*14:セブン、全国店主に1万円クオカード ペイ問題のおわび,朝日新聞,2019年8月15日

*15:7月4日頃から報告のあったものを列挙、既に解消済みも含まれる

*16:

*17:

*18:

*19:

*20:www.itmedia.co.jp

*21:

*22:

*23:https://www.yomiuri.co.jp/economy/20190715-OYT1T50072/

リスト型攻撃を通じたイオンカードの不正利用についてまとめてみた

2019年6月13日、イオン銀行、イオンクレジットサービスは同社のサービスに対してリスト型攻撃による不正ログインが行われ、登録情報の変更などを通じてクレジットカードの不正利用が発生したと発表しました。ここでは関連する情報をまとめます。

公式発表

  • 2019年6月13日発表

www.aeon.co.jp

被害の状況

イオンのクレジットサービスにおいて、不正ログイン(個人情報の盗み見)とカードの不正利用が発生した。

不正ログインされた会員数 1,917件
不正ログインの発生期間 2019年5月28日~6月3日(7日間)
不正利用されたカード会員数 708件
カード不正利用被害総額 22,044,816円
  • 警視庁へ被害相談済み。
  • 2019年5月31日にイオンは不正ログインの注意喚起を行っていた。

www.aeon.co.jp

盗み見られた可能性のある情報

不正ログイン後に第三者が以下の情報を盗み見た可能性がある。

  • 氏名(姓名、フリガナ、ローマ字読み)
  • 住所
  • 電話番号
  • 生年月日
  • 性別
  • 勤務先
  • 年収
  • メールアドレス

カード利用者は次の情報が対象に含まれる。

  • 請求金額
  • 利用明細
  • 利用可能枠
  • 支払い口座情報の一部
  • クレジットカード番号下4桁(セキュリティコードは対象外)

イオン銀行登録者は次の情報が対象に含まれる。

  • 口座番号上4桁
  • 預金種別
  • 預金残高
  • 支店名
  • 契約者ID上5桁

カード不正利用の手口(推測含む)

f:id:piyokango:20190614155945p:plain

  1. イオンのカード決済サービスにリスト型攻撃で不正ログイン。
  2. 電話番号を自分のものに変更。
  3. イオンウォレット(カード会社のアプリ)を通じてApplePayの登録。
  4. サービス上で確認した生年月日を入力。
  5. Apple PayのSMS認証は変更した自分あてに届くためそのまま登録。
  6. Apple Payが利用可能となり不正利用。
  • 公式発表や報道では「スマートフォン決済アプリ」との記載であるため、Apple Payを用いた手口かは確定ではない。
イオンウォレット経由のApple Pay登録の流れ

f:id:piyokango:20190614155701p:plain
f:id:piyokango:20190614155757p:plain

  • イオンウォレットログイン時は二段階認証は行われない。
  • 「暮らしのマネーサイト」では二段階認証が設定できるが、これを有効にしていてもアプリでは二段階認証は行われない。
  • ログイン後、生年月日の入力が必要。
  • 端末などの条件次第でSMS認証が行われる。

以下条件が揃う場合に同様の被害を受ける恐れがある。

  • カード会社のアプリ認証時に二段階認証等ID、パスワード以外の認証が行われない。(あるいは設定が任意)
  • カード会社のサービス上で登録する電話番号が任意に変更できる。
  • Apple Pay登録時にアプリ上で確認できない情報(セキュリティコード等)の入力が求められない。

他社カードアプリの状況(6月14日調査)

  • 他社カードアプリでログイン後にApple Pay登録が可能かを調査した。*1
  • いくつかのアプリではログインさえ出来ればそのままApplePayの登録が可能な模様。
  • アプリログイン時の対策(二段階認証など)は未確認。
カード会社 カードアプリ経由のApplePay登録 登録時必要情報
JCBカード 対応(MyJCB) 無し
JFRカード 対応(JFRカード App) 無し
ジャックスカード 対応(JACCSカードアプリ) 無し(とのユーザー報告)
アメリカンエキスプレスカード 対応(アメックスアプリ) ・セキュリティコード
三井住友カード 対応(Vpassアプリ) ・電話番号
au Wallet (プリペイド) 対応(au WALLET アプリ) 無し
dCARD 対応(dカードアプリ) ・カード暗証番号
ドコモ回線認証あり(2019.03.29より)
ソフトバンクカード 対応(ソフトバンクカード アプリ) ・カード番号下4桁
セディナ 対応(セディナアプリ) ・生年月日
・カード有効期限
・口座番号下4桁
楽天カード 対応(楽天カードアプリ) ・セキュリティコード
・ワンタイムパスワード認証あり
ニコスカード
MUFGカード
DCカード
Walletアプリのみ
ビューカード Walletアプリのみ
オリコカード Walletアプリのみ
セゾンカード
UCカード
Walletアプリのみ
ライフカード Walletアプリのみ
ポケットカード Walletアプリのみ
エポスカード Wallteアプリのみ
アプラスカード Walletアプリのみ
ミライノカード Walletアプリのみ

更新履歴

  • 2019年6月14日 PM 新規作成

*1:価格コムでApple Pay対応となっているものから抽出

クレジットカードの偽決済画面が稼働していたサーバーについて調べてみた

2019年6月8日夜、クレジットカードの情報窃取を目的としたページが稼働していたと情報をいただきました。偽ページが稼働していたドメインやIPアドレスを調べたところ、いくつか興味深い情報が確認できたため、調べた内容をここではまとめます。

偽決済画面だらけのサーバー

  • 情報提供頂いたURLではクレジットカード情報を窃取することを目的とした偽決済画面が稼働していた。

f:id:piyokango:20190610003921p:plain

  • サブドメインには決済代行サービスのペイジェントに似せた文字列が用いられていた。
  • 偽決済画面はワイン販売を行っている会社名がフォーム上部(モザイク部)に掲載。
  • この会社は2019年2月にWebサイトの改修を目的として一時閉鎖すると案内。
  • 6月に新ドメインでECサイト再開。新ドメインへ移行した理由は「諸事情により」とのみ説明。
問題のドメインsearch-hot.comを調べる
  • 問題のページが稼働していたドメインsearch-hot.comは2018年以降、クレジットカードの情報流出被害で偽決済画面が表示されるURLとして報告されていたものだった。

f:id:piyokango:20190610010132p:plain
www.i-ori.jp
www.bunnyfa-yokohama.com

  • 偽決済画面が表示される事例については徳丸さんの記事が詳しい。

blog.tokumaru.org

  • このドメインには2つのIPアドレスがこれまで紐づいていた。
167.179.73.64
45.63.95.198
  • さらにIPアドレスを調べてみたところ、偽決済画面のページが複数設置されていた。
(1)167.179.73.64についての調査
  • 167.179.73.64について調べたところ、以下の結果となった。

f:id:piyokango:20190610002049p:plain

  • search-hot.comドメイン配下に設置された偽決済画面のページはURL中にepsilon_card3.phpが含まれており、決済代行サービス GMOイプシロンを利用するECサイトを狙っていたとみられる。
  • 伊織、バニーファミリー横浜の他、JA秋田しんせいの偽決済画面の設置されていた。

f:id:piyokango:20190610010640p:plain

  • urlscan.ioでは次の調査履歴が残っており、被害報告が確認できないURLが3件*1含まれていた。
  • いずれも偽決済画面らしきコンテンツは分析結果上から確認できなかったため、実際に設置されていたかどうかは定かではない。

f:id:piyokango:20190610012156p:plain

  • 洋菓子ウエストは「決済代行会社と類似したドメインURL」と説明していたが、似せたドメインはpay.f-regi.co.comが用いられていたとみられる。

www.ginza-west.co.jp

(2)45.63.95.198についての調査

  • 45.63.95.198、および周辺情報を調べたところ、複数の情報がかかった。興味深いものだけを抽出すると以下の結果となった。

f:id:piyokango:20190610002123p:plain

この調査では次の複数の決済代行サービスに似せたドメインを確認した。

  • CREDIX
  • ヤマトフィナンシャル(クロネコWebコレクト)
  • ルミーズ
  • イオンクレジットサービス(イオンレジ)
  • エフレジ(F-REGI)

この中で気になったのはクロネコWebコレクト、ルミーズに似せたドメイン。

クロネコWebコレクトに似せたドメインで気になったポイント
  • ヤマトフィナンシャルからは2018年11月に注意喚起が行われている。

[PDF] 当社サイトを騙る偽装サイト(フィッシングサイト)への注意喚起

弊社が運営しております「Naturas Psychos Product」のサイトにおいても、「クロネコ web コレクト」リンク方式の決済サービスを行っており、セキュリティー強化のため 2019 年1月 26 日から「NaturasPsychos Product」サイトのサービス利用を停止してメンテナンスを行っております。

長期に渡り、皆様にはご心配とご迷惑おかけし誠に申し訳ありません。
この度、かねてより準備を進めておりましたホームページのリニューアルが完了し、公開の運びとなりました。
安心してご購入いただけるようセキュリティ面の強化を目的とした
カートシステムのリニューアルを実施しております。

ルミーズに似せたドメインで気になったポイント
  • ルミーズに似せたドメイン配下に偽入力フォームの存在を確認した。

f:id:piyokango:20190610012532p:plain

  • 当該フォーム中にパズル販売を行っている企業名が掲載されていた。
  • この件との関係性は不明だが「システム不具合が発生したとして調査を行っている」と6月10日現在Webサイト上に掲載されている。

f:id:piyokango:20190610000224p:plain

謝辞

  • 今回は@ozuma5119さんより情報を頂きました。ありがとうございます。
  • @ozuma5119さんの尽力により関係者への連絡が行われ問題のサイトはテイクダウンされたようです。

更新履歴

  • 2019年6月10日 AM 新規公開

*1:同一サイトと思わしきものが1件含まれているように見え、実際には2件とみられる

ヤマダ電機通販サイトの不正アクセスについてまとめてみた

2019年5月29日、ヤマダ電機は自社運営の通販サイトが不正アクセスを受け、クレジットカード情報が外部へ流出した可能性があると発表しました。ここでは関連する情報をまとめます。

公式発表

  • 2019年5月29日

www.yamada-denki.jp

  • 調査結果を踏まえ、システムのセキュリティ対策、監視体制の強化を図っている。
  • カード情報の登録等機能の再開は改めて案内する。
情報流出の可能性のある通販サイト

www.yamada-denkiweb.com
ymall.jp

インシデントタイムライン

日時 出来事
2019年3月18日までに ヤマダウェブコム・ヤマダモールが不正アクセスを受け、ペイメントアプリケーションが改ざんされる。
カード情報流出の可能性がある対象期間
2019年4月16日 クレジットカード会社より情報流出の疑義について連絡。*1
同日 ヤマダ電機が情報漏えいの可能性を把握。
カード情報流出の可能性がある対象期間
2019年4月26日 ヤマダウェブコム・ヤマダモールでシステムメンテナンス。カード登録を休止する措置。
同日 ヤマダ電機がP.C.F.FRONTEOへ不正アクセスの調査を依頼。
2019年5月7日 ヤマダ電機が警察へ被害相談。
2019年5月20日 P.C.F.FRONTEOによる調査が完了。
2019年5月22日 ヤマダ電機が警察へ被害届を提出。*2
2019年5月28日 ヤマダ電機が個人情報保護委員会へ不正アクセス被害を報告。
2019年5月29日 ヤマダ電機が不正アクセス被害とクレジットカード情報流出の可能性を発表。

被害の状況

  • ヤマダウエブコム・ヤマダモールが不正アクセスを受けた。
  • ペイメントアプリケーションの改ざんが行われた。
    • - ヤマダ電機のWebサイトではカード情報を取得しない仕組みとなっていた。*3
  • 改ざんにより特定期間中にクレジットカード情報が流出した可能性がある。
流出可能性の対象件数 最大37,832件

以下行為を行った場合に該当
・新規カード登録
・カード登録情報の変更
流出可能性の対象期間 2019年3月18日~2019年4月26日(40日間)
流出可能性のカード情報 ・クレジットカード番号
・カード有効期限
・セキュリティコード
カードの悪用 一部不正利用された恐れあり。*4
  • 流出した可能性があるのはカード情報のみで他個人情報は影響を受けていない。
  • 警察、個人情報保護委員会へは報告済み。
4月16日時点で被害公表をしなった理由
  • ヤマダ電機は5月29日の発表で次の通り説明。

2019年4月16日情報漏洩の可能性は判明しましたが、正確な状況を把握しない段階で公表することは却って混乱を招くこととなることから、「ヤマダウエブコム・ヤマダモール」での新規クレジットカード登録、及びクレジットカード情報の変更を停止させて頂き、詳細調査を依頼している第三者調査機関の最終報告書をもって報告する事とさせていただきました。調査に時間がかかり、情報公開が遅れた事につきましても、深くお詫び申し上げます。

  • カード登録等の機能停止が情報漏えいの把握から10日経過した理由については触れられていない。

更新履歴

  • 2019年5月30日 AM 新規作成

弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ|ヤマダ電機 YAMADA DENKI Co.,LTD.

弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ|ヤマダ電機 YAMADA DENKI Co.,LTD.

弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ|ヤマダ電機 YAMADA DENKI Co.,LTD.

2019年5月29日 お客様各位 株式会社 ヤマダ電機 弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ このたび、弊社が運営する「ヤマダウエブコム・ヤマダモール」におきまして、第三者による不正なアクセスを受け、クレジットカードの情報が最大37,832件流...

はてなブックマーク - 弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ|ヤマダ電機 YAMADA DENKI Co.,LTD. はてなブックマークに追加

大学生が”ペイペイ払い”に尻込みする理由 | プレジデントオンライン

大学生が"ペイペイ払い"に尻込みする理由 | プレジデントオンライン

大学生が"ペイペイ払い"に尻込みする理由 | プレジデントオンライン

各社が一斉に参入した「キャッシュレス決済」。普及のカギを探るべく、今回6人の若者との座談会を収録しました。世界の「キャッシュレス社会」に関して研究を行っているサイバーエージェント次世代生活研究所・所長の原田曜平さんは「若者たちは『自分だけ使うと悪目立ちする』と話す。企業は『みんなが使っている』と演...

はてなブックマーク - 大学生が"ペイペイ払い"に尻込みする理由 | プレジデントオンライン はてなブックマークに追加

よくわからないJavaScriptが綺麗にされたらCard Stealerだった件 | リクルートテクノロジーズ メンバーズブログ

よくわからないJavaScriptが綺麗にされたらCard Stealerだった件 | リクルートテクノロジーズ メンバーズブログ

よくわからないJavaScriptが綺麗にされたらCard Stealerだった件 | リクルートテクノロジーズ メンバーズブログ

こんにちは、Recruit-CSIRTのきっかわです。 「ウィルスオタクの若手エース」と呼ばれるようになったから、というわけではないでしょうが(笑)、このたび、話にはよく聞くが見かけたことのなかった「クレジットカード情報を盗むJavscript」を見つけたので、そのマルウェアと周辺の攻撃について情報を共有します。みなさ...

はてなブックマーク - よくわからないJavaScriptが綺麗にされたらCard Stealerだった件 | リクルートテクノロジーズ メンバーズブログ はてなブックマークに追加

カードの有効性確認を悪用した情報流出についてまとめてみた

クレジットカード悪用のためにショッピングサイトでカード情報の有効性確認が行われる事例が報告されており、この手口についてまとめます。

被害を受けたWebサイト

  • 「有効性確認」の手口がとられたと発表した組織は2019年4月までに2件です。(piyokangoが確認した限り)
No 発表日 被害組織 被害状況(対象期間) 原因
1 2018年12月7日
2018年12月14日(補足)
エディットモード
(editmode.jp)
カード情報2,169件流出
(2,169件で決済成立)
期間:2018年3月7日~2018年7月11日
外部からアクセス可能な状況となっていたため
2 2019年4月23日 エーデルワイン
(shop.edelwein.co.jp)
最大31,231会員情報流出
(1,140件で決済成立)
期間:2015年7月8日~2018年8月5日
システムの一部の脆弱性を攻撃されたため

流出したカード情報は以下4項目

  • カード名義人名
  • カード番号
  • カード有効期限
  • セキュリティコード

有効性確認の説明

  • 自社外の情報を用いて自社サイトで利用可能かを確認されたと説明。
  • 自社サイトの決済が成立するかで有効性を確認していたとみられる。
エディットモード 弊社サイト外で流出したであろうカード情報を、弊社サイトを使用して利用可能か確認することです。本件では大量に入力した痕跡を確認いたしました。
エーデルワイン カードの有効性確認とは、機械的に作成したカード情報を弊社サイトで使い、利用できるかを確認するものです。

エディットモードへの不正アクセス

補足発表で明らかにされた手口は以下の通り。

  1. 何者かがeditmode.jpへ不正アクセス
  2. 決済時に(一時利用のみであったはずの)カード情報をWebサーバー上に保管するようにシステム改変
  3. 保管されたクレジットカード情報を何者かが複数回ダウンロード
  • 2,3の間で有効性確認の決済を行っていたとみられる。
  • ダウンロードされたカード総件数は14,679件。
  • この内、2,169件(14.8%)で実際に決済が成立していた。
  • エーデルワインが同様の手口だったのかは不明。

更新履歴

  • 2019年4月24日 AM 新規作成

カードの有効性確認が発覚した情報漏えいについてまとめてみた

クレジットカードの不正利用の調査からショップサイトを通じてカードの有効性確認が行われていた事例が報告されています。ここでは関連する情報をまとめます。

有効性確認が確認されるまでの経緯

f:id:piyokango:20190425114108p:plain

  • ショップサイトへ決済代行業者から不正利用の疑念ありとの連絡。
  • 調査により不正アクセスによりカード情報を盗まれていたことが判明。
  • 調査結果より盗まれた大半のカード情報が有効性確認に利用されたものと判明。

被害を受けたWebサイト

  • 自社サイトへ「カードの有効性確認」が行われたと発表した組織(piyokangoが確認したもの)
No 発表日 被害組織 被害状況(対象期間) 原因
1 2018年12月7日
2018年12月14日(補足)
エディットモード
(editmode.jp)
カード情報2,169件流出
(2,169件で決済成立)
期間:2018年3月7日~2018年7月11日
外部からアクセス可能な状況となっていたため
2 2019年4月23日 エーデルワイン
(shop.edelwein.co.jp)
最大31,231会員情報流出
(1,140件で決済成立)
期間:2015年7月8日~2018年8月5日
システムの一部の脆弱性を攻撃されたため

2社とも流出したカード情報は以下4項目*1

  • カード名義人名
  • カード番号
  • カード有効期限
  • セキュリティコード

調査で明らかになった有効性確認行為

  • 自社外の情報を用いて自社サイトで利用可能かを確認されたと説明。
  • 自社サイトの決済が成立するかで有効性を確認していたとみられる。
  • 有効性確認の具体的な手口は明らかにされていない。
エディットモード 弊社サイト外で流出したであろうカード情報を、弊社サイトを使用して利用可能か確認することです。本件では大量に入力した痕跡を確認いたしました。
エーデルワイン カードの有効性確認とは、機械的に作成したカード情報を弊社サイトで使い、利用できるかを確認するものです。

エディットモードへの不正アクセス

補足発表で明らかにされた手口は以下の通り。

  1. 何者かがeditmode.jpへ不正アクセス
  2. 決済時に(一時利用のみであったはずの)カード情報をWebサーバー上に保管するようにシステム改変
  3. 保管されたクレジットカード情報を何者かが複数回ダウンロード
  • 何者かが2,3の間で有効性確認の決済を行っていたとみられる。
  • サーバーからダウンロードされたカード情報総数は14,679件。
  • この内、2,169件(14.8%)で実際に決済が成立していた。
  • エディットモードへの不正アクセスと有効性確認の関連は不明。
  • エーデルワインが同様の手口だったのかは不明。

更新履歴

  • 2019年4月24日 AM 新規作成
  • 2019年4月25日 PM 誤解を招くため、タイトル、本文内容を追加・修正。まとめ、イメージ図を追加。更新前の記事。

*1:会員情報の他項目については言及されていない。

超小型無人コンビニが東京でひそかに増殖 狙うは10兆円市場:日経クロストレンド

超小型無人コンビニが東京でひそかに増殖 狙うは10兆円市場:日経クロストレンド

超小型無人コンビニが東京でひそかに増殖 狙うは10兆円市場:日経クロストレンド

人手不足やドラッグストアの“越境”により成長に陰りが見え始めたコンビニ市場。そんななか、スタートアップ企業が開発した異色のキャッシュレス無人コンビニが、マンションへの展開を開始。コンビニよりも消費者に近い“小商圏”を発掘し、新市場の創造を狙う。 次世代型の小売業態としてひそかに増殖しつつあるのが、スタ...

はてなブックマーク - 超小型無人コンビニが東京でひそかに増殖 狙うは10兆円市場:日経クロストレンド はてなブックマークに追加

結婚式の招待状をWEBのみにし、ご祝儀をクレジットカード決済可にしたらとてもスマートな式になった「これからはこういうのもアリ」 – Togetter

結婚式の招待状をWEBのみにし、ご祝儀をクレジットカード決済可にしたらとてもスマートな式になった「これからはこういうのもアリ」 - Togetter

結婚式の招待状をWEBのみにし、ご祝儀をクレジットカード決済可にしたらとてもスマートな式になった「これからはこういうのもアリ」 - Togetter

結婚式の招待状をWEBのみにしました。年代によって返ってくる反応が違うので面白い。 何故WEB招待状にしたのかというと ・予算カット→他に予算回すため ・送付〜出欠までが簡単 ・参加者側も出欠登録しやすい ・ご祝儀をクレカ決済できるよう配慮 ・当日に荷物無しでも参加できるように あたり。

はてなブックマーク - 結婚式の招待状をWEBのみにし、ご祝儀をクレジットカード決済可にしたらとてもスマートな式になった「これからはこういうのもアリ」 - Togetter はてなブックマークに追加

Amazonプライム値上げで「Amazonゴールド」カードが注目される 年4320円でプライム使える、けど…… – ねとらぼ

Amazonプライム値上げで「Amazonゴールド」カードが注目される 年4320円でプライム使える、けど…… - ねとらぼ

Amazonプライム値上げで「Amazonゴールド」カードが注目される 年4320円でプライム使える、けど…… - ねとらぼ

「Amazonプライム」の料金がついに値上げされ、日ごろ利用しているネットユーザーが驚いています。Twitterなどでは解約を検討するというユーザーも少なからず現れており、そのインパクトは大きいようです。安く使える方法はないものか……。 ひえー Amazonプライムの新料金は、年間プランが4900円(税込、以下同)、月間プ...

はてなブックマーク - Amazonプライム値上げで「Amazonゴールド」カードが注目される 年4320円でプライム使える、けど…… - ねとらぼ はてなブックマークに追加