企業が顧客向けに提供しているサービスで、不正ログイン後にポイントを不正利用される被害が昨年12月、相次いで発生した。すべて、何らかの方法で入手したIDとパスワードのリストを使ってサービスへのログインを試みる「リスト型攻撃」によるものだった。
■「ココカラクラブ」等に不正ログイン:ポイントの不正利用や個人情報閲覧
ドラッグストアチェーンの運営等を行うココカラファイン ヘルスケアは2016年12月6日、運営する「ココカラクラブ」「ココカラ公式アプリ」が不正アクセスを受け、一部のアカウントが不明の第三者によって不正ログインされたと発表した。外部から不正に取得されたと思われるID・パスワードリストを使った不正アクセスが、同3日から複数回にわたり発生。一部顧客のポイントが不正に利用された可能性があるほか、個人情報の一部が不正に閲覧された可能性もあるという。
同社は「ココカラクラブ」サイトのログイン機能をいったん停止し、不正ログインされた可能性のある顧客についてはアカウントを一時的に凍結の上、個別に連絡した。サイトは1月12日から再開されている。同社は顧客に対し、他のインターネットサイト等と同じID・パスワードを使わないこと、定期的にパスワードを変更することを呼びかけている。
<公開資料>
・当社「ココカラクラブ」「ココカラ公式アプリ」への不正アクセスについてhttp://www.cocokarafine.co.jp/info/CSfViewNews.jsp?sort=1&no=24
・「ココカラクラブ」「ココカラ公式アプリ」への不正アクセスに関するご報告(第2報)http://www.cocokarafine.co.jp/info/CSfViewNews.jsp?sort=1&no=26
・「ココカラクラブ」サイト再開のお知らせ
http://www.cocokarafine.co.jp/info/CSfViewNews.jsp?sort=1&no=29
■「エディオンアプリ」に不正ログイン:ポイントの不正利用
家電等販売のエディオンは2016年12月12日、同社が運用する「エディオンアプリ」が不正アクセスを受け、エディオンポイントが不正に使用されたと発表した。同社サーバーが外部から攻撃を受けた事実や、顧客のID・パスワード、クレジットカード情報その他の個人情報が漏えいした事実は認められておらず、同社は、不正アクセスに用いられたID・パスワードは第三者によって外部で不正に取得されたものとみている。
同社は事実関係の調査を続けるとともに、顧客に対しID・パスワードの定期的な変更をするよう呼びかけている。
<公開資料>
・当社「エディオンアプリ」を利用した不正アクセスについて
http://www.edion.co.jp/news/detail.php?id=843
■「ネットカウンター」に不正ログイン:ポイントの不正交換・不正利用
クレジットカード事業のポケットカードは2016年12月15日、会員専用ネットサービス「ネットカウンター」において、会員本人以外の第三者からの不正なログインが発生したと発表した。他社サービス等から流出した可能性のあるID・パスワードを利用した、リスト型攻撃によるものとみられるという。
不正ログインが確認された会員は118名で、不正ログイン後にポケット・ポイントが不正に交換・利用される被害が発生している。個人情報やクレジットカード番号等の漏えいおよび不正使用等の被害は確認されていない。同社は該当会員に個別に連絡をとるとともに、会員専用ネットサービスを利用している全ての顧客に対し、パスワードの変更を呼びかけている。
<公開資料>
・当社会員専用ネットサービス「ネットカウンター」への不正ログインに関するご報告とパスワード変更のお願い
https://www.pocketcard.co.jp/news/detail.php?id=228
(2017/01/18 ネットセキュリティニュース)