これは被害受けたヴェルディのサポさんが可愛そうやな
あまりにもひどい事件だわ

4200万円もあれば森田が買えるぞ

どこのクラブもサポも他人事じゃなさそうな事件だけどある種貰い事故というか、気をつけようがないよな…

これは無理だわ

ちょっと前のタリーズみたいな事件かと思ったら委託先の犯行かよ
こえーなぁ利用者どうしようもないやん

おととし夏の犯行とあるけど
ちょうど昇格盛り上がり、物販書き入れ時か
内部犯行悪質すぎるわ

サイトの保守担当がヤベー奴なんてヴェルディ側は調べようがないからこればっかりはね

さすがにこんなん無茶苦茶だわ・・・

大胆不敵というか荒っぽい手口
ギャンブル借金とか感覚狂っちゃたのかね

安い業者を選んだ結果やべー奴がいる会社引いた感じがする

無茶苦茶腹立つな
被害遭われた方かわいそうに
この容疑者も委託先も二度と業界にいられないだろうが社会から追放されて欲しい

自分含め周りのサポ仲間全員やられた
一人残らず全員
ほんと許せん

※12
よちよち頑張ったね

警備会社の社員が空き巣に入った話とかと同じよね

滅茶苦茶すぎる…
こんなんされたら恐ろしくて外部委託なんて出来ないけど専門職はそうもいかんし何をもって担当者が安全かなんて分からんしなあ
実行したのは極々一部のSEとはいえ業界全体に向けられる目はより厳しくなるだろうね

これは信頼問題にかかわるね
同じJリーグファンとして安心できるようにきっちり対処お願いしますよ東京ｖさん。

防ぎ方は単純だよ
・クレジットカード情報をシステムの中に保管する作りにしない
・運用保守に使う管理者パスワードを定期的に（最低でも四半期に1回以上）変更し、担当から離れた人がアクセス出来ないようにする

どちらも、クレジットカードで決済するシステムなら当たり前に行われていることで、特にクレカ情報の非保持は法律（2018年の改正割賦販売法）で義務付けられている
前者はプログラムの中身見ないと確認出来ないからJクラブには難しくても、後者はチェック簡単なはず

自分もやられた
最初に自分のもとにクレカ会社から確認の電話がきてそれで発覚して即カード再発行したわ
そのため不正利用自体はカード会社で止めてくれたので実際に自分に請求がくることはなかった
この時点でクレカ会社はどこが原因かわかってたようなことも話してたなぁ
おそらくそのクレカ会社だけで複数人同様の被害がでてて共通点見つけてたんだろうね

※12※15
被害にあった会社を侮辱してるおたくらは何者？
容疑者のお友達？

※16
そのたとえは違うと思う
「入手したクレジットカード情報を売り渡した」と記事に書いてあるから
銀行員が顧客の口座を反社にまわして詐欺に悪用された感じかな

※16
申し訳ない、自分の読解力が悪かった
その警備員たとえはわかりやすいですね

悪質すぎる
こんなもん仕事外注できなくなるで

こういう事件て被害者は取られた人みたいに思われがちだけど、裁判で被害認定されるのはクレジット会社なんよな
ちゃんとクレジット会社に「この出金は盗まれた情報からだから返金して」ってお願いするんやで

業者がやるとか防ぎようがないだろ…
金額も金額だから被疑者個人に弁償能力ないだろうし最悪だな

対策ったってちゃんとした実績のある会社に頼む位しか無くない？
多分アカツキが撤退してバタついてた所に足元見られたんだろうなって
こういう所にも予算の少なさが出てる

被害額4200万どころじゃないよね
グッズはそのときに欲しいから注文するわけで
事件の対応しているあいだに旬を逃してしまう

娘がSIer系の進路目指してるけどもし職場でこんな犯犯罪やらかしたらお詫びしようがない
お客様の大事な情報を売るなんて人間失格

※12
頭大丈夫か？

※12※15
仕組みが理解できていないことをアピールしなくても良いから。

それにしてもこんなん防げへんやん…。

サイトを作る人、管理する人にやられたら防ぎようがない
絶対に誰かしらが管理しなきゃいけないんだし

安い業者に頼んだからなんて言うけど極論個人の倫理観の問題だし大企業にだってヤベー奴はいる

時間がお金がないだと反社チェック的なことも含めてやる余裕がない
信用のないところを引く確率は上がると思う

被害者は勿論、ヴェルディが不憫すぎる。こんなんどうやって防げと。

これは悪質すぎるだろ。ヴェルディの関係者が気の毒。

とりあえず捕まったのは何よりだな
ヴェルディの運営の手落ちの割合も小さそうなのが不幸中の幸いか

信頼度を上げたいなら身内グループから育てるのがいいのか
でも育てるのが嫌いだから委託するんだよな
経験者しか採用しない求人と同じで

会社としてしっかりしてるクラブはこんな事起こさないでしょ。
ウチの会社としても再発防止の対策は出来るよな？

かわいそすぐる🥺

※32
それでも、ちゃんとしてるところはある程度こういうことをしでかすような人間が出てこないような仕組みにはしてる
人間がやることなんで100％ではないと思うけど、確率としてはやはり相当低くなると思う

※19
ショップの仕様がクレカ情報を自前サーバー内に溜め込んでたとは限らないよ
他所に送る時点でクレカ情報は一時的とはいえオンラインショップ側にあるから、それを悪意を持って隠し保存されてたらどうしようもない

そもそもバックドア的に仕込んでたならわざわざ律儀に管理パスワードを使う必要もない

ニュース見て誰がやったのって思ったらSEの犯行ってコレ防ぎよう無いわ
てか、この2名を求刑MAXで刑務所に行ってもらわないと
そして補填はSEの親会社側がキチンとしてって流れかな
人のモラルが無い犯行が怖いわ

※32
大企業は悪いこと出来ないような仕組みになってる
まあ、その分いろんな速度が遅くなってしまうのだが、そこはトレードオフなので仕方ない

外注したのが悪いってのはそれ自体は一理あるんだけど、じゃあそういうエンジニアを自前で育てる間ってどうするんだってことにもなるんだよね。
結局その期間も給料とかは発生するわけで、人件費とかどこまで割けるかはわからない。

あと、これは別ソースの記事があったから見たけど、まぁまぁひどいなって感じだったし、もともとポケカとかでやらかしてた悪党の余罪を調べてたら発覚した感じっぽいですね。
https://www.yomiuri.co.jp/local/kanagawa/news/20250626-OYTNT50290/

あと、気になるのが逮捕したのが警視庁じゃなくて神奈川県警だったことなんだけど、もしかして本部とかは神奈川に近いから神奈川県警に相談したって感じなのかな？ともここらへんどうなんでしょう？

防ぎようが無さすぎるがヴェルディのサイトでって報道するしかないからほんと酷いな

※44
ECを外注してない企業なんて居ないだろ
楽天みたいなEC本業にしてる会社なら別として

※41
読売や朝日が詳しいが、「管理者権限を持つアカウントなどを使って約２７００件のカード情報を不正入手した」とあるのでバックドアじゃないよ

それと今のオンラインストアはクレカの認証時に一時的に別サイトに飛ばされるのが多いが、あの方式は一時的にもクレカ情報はストア内には保持されないよ。保持してたらそもそも違法

※28
1年ほど自社での通販サイトは閉じてた
その間はJリーグオフィシャルだけで売ってたけど、機会損失は計り知れん

未遂だったが自分も被害にはあってたな
使った覚えのないクレカのSMS認証が何度か飛んできて、問い合わせたら情報漏れでやられてるって言われたのカード止めた
（認証で止まってて決済はされてなかったそうな）
設定しててよかった2段階認証って思った

委託先の企業自体の問題なのか委託先の個人の問題なのか。
企業の問題であればある程度大きい会社なら発注前チェックとかで弾けるとは思うが
企業でなく個人だったらもうどうにもならんよな・・・

みずほの貸金庫とかUFJの横領とかいわき信金の不正融資とかもあったから
大手とか金融も信用ならないが。

※44
ITが本業なわけじゃない
自社サイトの管理くらいしかしない環境でIT技術者が育つわけない
その程度の仕事量に若手と先輩指導員等々抱えてられない
そもそも転職しまくってナンボのIT技術者をサッカークラブに留めておけない

外注するなは流石に提案としてあり得ないよ
金も余計にかかるしクオリティも下がる

ECサイトの構築から自社でやれ！ってのは
サッカークラブなら使うボールも自前で作れ言ってるのと同じだな

※46※51
ごめん言い方が悪かった、安い業者に外注したのが悪いってを見て、自前で育てるにしても流石にその期間の人件費どうすんだって意味で書いてた。

というか、そもそも外注業者そのものが悪いってよりも、外注業者の中の人間にこんなとんでもない輩が紛れ込んでたのほうが正しい気がする。
流石にそれをやられると流石に業者だってどうにもならんだろうなぁって感じだし、いろんな記事見てるとエグいことやってるの見つけた挙げ句に朝日新聞の別記事はトクリュウ絡んでるかもって出てて、これ調べてみたらヴェルディ以外にもとんでもないの出てきそうで怖いなぁと

よくウチを狙ったな
利用者少なすぎて、旨味なんてないだろうに

※54
逆
そこそこの利用者が見込めて、その割に管理態勢が弱いJクラブだから狙われたとみる。トクリュウ絡んでるって報道もあるし
実際2726人分のクレカ情報ゲットしていて、ヴェルディが把握してる（クレカ決済を止められたもの）だけで4000万、他にも被害を訴えているサポがXで散見されているので、被害総額は億行ってるかもよ
親会社がIT系じゃない他Jクラブも一度サイトの中チェックした方が良い。最低でもシステム管理者IDのパスワードを定期的に変更していれば、今回の事件は起きなかった

※32
貸金庫から直接盗んでたヤツもいたからな
あれは言い値で返したんだっけ？

こういう事があるとたいてい手数料無料でカード再発行で番号変わるけど、そのあとにそのカード登録してる各所の更新手続きを忘れずに
（不正利用でカード再発行→いろいろ更新手続きしてる中でスポーツジムのカード更新を見落とす→料金引き落とせない、未払い扱いで大変な事になった経験者より）

※19
https://www.yomiuri.co.jp/local/kanagawa/news/20250626-OYTNT50290/
「石川容疑者は２１～２２年、システムエンジニアとして、東京Ｖのオンラインストアのサイト構築などを担当。契約終了後の２３年８～１２月、管理者権限を持つアカウントなどを使って約２７００件のカード情報を不正入手した。」

契約終了したのにもかかわらず、管理者権限を削除しないのはクラブ側の明確な落ち度だと思う。

毎日新聞では契約終了後の犯行になってるけど、本当かなぁ

>容疑者は21～22年、システムエンジニアとして東京ヴェルディのサイトの開発・保守に携わっていた。
>契約終了後、サイトに不正アクセスし、登録された客のカード情報が閲覧できるように改ざん。

※56
あれは外注じゃなく銀行の支店長クラスがやった犯行だからな
自社だから安全なんて神話は崩れた

※59
後からでも侵入できるようバックドア仕込んでたんでしょ
委託元にはそんなことわかりっこない

自分もやられた。
約7万円くらいカードショップのネット販売窓口(一昨年そんなたいした作りじゃなかった)で使われてて、すぐに、クレカ会社に言って停止&補償制度利用&再発行した。
クラブにも警察にもクレカ会社にも当該カードショップ情報については情報提供。
カードショップは稲城市じゃないけど意外に近くの市だったから内部犯行だと思ったけど、買い子グループ(リンク記事内)に情報を売っていたとは。
https://www.yomiuri.co.jp/local/kanagawa/news/20250626-OYTNT50290/

ヴェルディに対しては、自分がIT会社に勤めてることもあり、委託先でしかも内側から抜かれたらどうしようも無いこともあり、ドンマイとしか思わなかった。委託元としてはどうしようもないね。IT部門の内部回帰の動きが一部企業であるけど、サッカークラブとして業務外過ぎて維持できない。
Jリーグのシステムを利用することにしてもJリーグの販売サイト見てると、出品数とかなんか制限かかってそうなくらい販売が貧弱だし。
開発会社は、どこまでもやろうとしたらやれるけど、考えうる対策は全部やってほしい。外部から判断はできないけど。

※58
クラブ側にそんなんどうしろと
納入されたプログラムを解析して怪しいアカウントは削除しろってのか
納入後も担当者がやめたとか資料紛失したので作った会社がアクセス出来るよう管理アカウントは残して置かないと
ブラックボックスになるだけだ

40人、ってのは実際に使われて被害が出て報告のあった人数だろうな
報告漏れたり未遂合わせたらその10倍はやってそう
ここに限らずクレカ情報含む個人情報漏れなんていろんなところで起きてるけど（ニコとか）
本当に使用されたのはここが初めて

※63
ブラックボックスってw
全てのアカウントを削除する必要はないだろ
契約終了したアカウントの管理者権限を削除するだけなんだから

性悪説に立てば防げた事故。クラブが性善説に立っていたことをどこまで非難すべかはなかなか難しいところ。

※65
そんな簡単に削除出来るようにバックドア仕込んでると思うの？

読売新聞の記事↓
捜査関係者によると、石川容疑者と福崎容疑者は共謀して２０２３年８月～２４年６月、東京Ｖが管理するサーバーに不正アクセスして、公式オンラインストアから４５人分のクレジットカード情報を盗み、パソコンで保管するなどした疑い。

ヴェルディが↓このリリースしたのが2024年2月だから、その後4ヵ月間も不正アクセスされていたのか
https://www.verdy.co.jp/news/12690

ケチって安い業者に委託したんちゃう

業者の中に犯罪者が紛れ込んでいるとまさか思わないし、解っていても誰も見つけられないよな
こういうの日本の企業の信用を無くすから罰を重くすべきだわ
そもそも法律を作った当時よりも平均寿命が延びた、その分、懲役刑の期間を増やす方がいい

正に安物買いの銭失い
こういうサポーターのお金に関わることは多少高くても信頼できるところに委託しましょう

※67
契約終了した際に与えていた管理者権限を削除するだけだから普通にできるだろ

※72
安い業者をつかったから、なんてことは一言も書かれてません
かってに決めつけて叩かないように
名のある大銀行の支店長クラスでもやらかすのが昨今ですよ

※73
・捜査の結果、サイトのプログラムに改ざんが確認され、以前、メンテナンスなどをしていた容疑者らが関わった疑いがあることが分かった
こうあるのでアカウントを放置してたのが悪いって話じゃないよ

・なお今回逮捕された容疑者は、弊社と直接の雇用関係および業務委託関係はございません。
クラブ発表にもこうあるので、フリーのSEを雇ってしばらく管理させてたという訳ではなく
ECサイト制作・管理してもらってたアプリ会社の方に入り込んでたことが伺える

※75
契約終了→不正アクセス→改ざん
という順序です

https://mainichi.jp/articles/20250627/k00/00m/040/146000c
同課によると、石川容疑者は21～22年、システムエンジニアとして東京ヴェルディのサイトの開発・保守に携わっていた。契約終了後、サイトに不正アクセスし、登録された客のカード情報が閲覧できるように改ざん。

対策次第で防げたとか、ヴェルディに責任あるとか言ってる奴はIT音痴か世間知らずすぎる
こんなん100%防ぐのは絶対無理
99.9%までは近づけるけどそのためには膨大なコストがかかる

※47
契約期間中にバックドア仕込んだのではなく、契約終了後も（なぜか有効だった）管理者権限アカウントで不正アクセス → クレカ情報を入手できるよう改ざん
…という流れか。

※78
へ～
99.9%までは近づけるんですね
膨大なコストっていくら位かかるんですか？
IT音痴なんで教えてください

そもそも踏み台経由か知らんが本番鯖に辞めた人間が管理垢で外部アクセス可能な時点で相当ヤバい
普通ホワイトリストにしておくだろ
本番鯖にマージする時にコードスキャンとかしてなかったりCI/CDの知識ない無能か？
もし本番鯖をSSHとかで直接弄れるような設定になってたとしたらまだ隠れてる抜け穴あると思う

※79
契約期間中の仕込みではないのであれば、このブログ本文の
「セキュリティの甘さから、外部アクセスで改ざんされてしまったのかと思いきや、まさかサイトの管理をしていた業者が仕込んでいたとは……」
という表現は不正確な気がします。

※78
※47みたら今回の不正は防げるでしょ。
他の手口ならともかく、今回のは契約終了しての対応で防げるわ。

結局このSEは何人分のカード情報を売ったんだろう
キャッシュレスは生活に不可欠なのでお互い気をつけましょう

これはサイト業者から賠償分捕れそうだな
個人だったら金なくて泣き寝入りもあったよ

現行ShopifyアプリはWAF, VPCと権限周りまともならネット経由の攻撃は防げるけど2023当時はどうだったんだろうか
もしSQLインジェクションやXSSじゃないとしたら全権限持ったaccess token使ってAPIでぶっこ抜いてるかもな
だとしてもアクセスログで検出できなきゃおかしいが

性悪説に基づいた設計、開発フロー、CI/CD、アカウント管理、ログ監視等々…
何重にも対応出来る余地あったのにほぼ4ヶ月間クレカ会社からの連絡まで放置してたのってやべーな
この際ペネトレーションテストのツール義務化したほうがいい

金融に勤めていて顧客情報に関わる事件を聞くたび背筋凍る
クレジットは文字通り社会的信用で成り立ってるからこんな罪犯して家族苦しむよ

※37
育てても出て行くだけだからねえ
メーカーかディーラーで修行して顔売って、家族経営の整備工場に戻るとかならいいのだけどさ

社員何百人もいる企業や本業ECサイトの企業ならまだしも、本業スポーツ事業で社員数十名のJクラブが自前でECサイト運営するのは現実的ではないし、スーパーエンジニアが1人たまたま採用できたとしてもその1人に権限が集中しすぎて統制が利かなくなり大量漏洩事故を招くだけなので、外部委託すること自体は問題ではなくむしろ望ましいこと
ヴェルディの過失はその外部委託管理が不十分だったこと。業者がやったことなので知りませんは通用しない。去年類似の事故起こしたタリーズコーヒーが散々批判されたように
他の案件も見るにJ全体で個人情報保護、情報セキュリティ、外部委託管理などのシステムリスク管理が弱いのは否めないので、楽天や日立あたりのJクラブ親会社にあたるIT企業を使って各クラブフロント対象に研修やったり定期的な検査を行ってスキルアップしないと、遠くないうちに別クラブで再発するだろうね

委託先がしっかり社員に給与払ってるかとか、そこを見るくらいかな、可能な対策は。

SEが多いのお

ここのスレでもやられた報告おおくて、実際の被害者って40人程度じゃないでしょこれ。

たぶん実際にクレカが使われたのが40人くらいで
カード使えなくなった人はもっといそう

※81
犯人とヴェルディに直接の委託関係は無いかもしれないけど、ヴェルディが委託してた会社も相当にアレよな
本番システムに「外部から」「辞めた人間が」アクセス出来るってどんな体制やねん
バックドア仕込むとかそんなレベルじゃねえよ

奇しくもリリース出した2024年2月にクラスメソッドとパートナー契約とか草
最初のリリースもクラスメソッドがコンサルティングしてたんじゃないか？
不正アクセスを招いた体制と割と優秀なお気持ち表明には余りにギャップがありすぎる

この容疑者たちは何人のカード情報をどこに売り飛ばしたのか
捜査の行方が気になる

※96
トクリュウに売ったと報道されてる
ということはオンカジ借金が動機の可能性が高く、サッカー界の自爆案件（吉田麻也が元凶）かも知れないな