最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆モジラ、深刻な脆弱性を修正した「Firefox 63」を公開(2018/10/24) | メイン | ◆アップル、脆弱性を修正した「macOS」や「iOS」などの最新版を公開(2018/10/31) »

2018/10/26

◆コツコツ貯めたポイントが突然消失――店頭でカードアプリ不正使用相次ぐ(2018/10/26)

  コツコツ貯めたポイントが突然誰かに使われてしまう、そんな事件が先月相次いだ。狙われたのは、dポイントやTポイントなどのいろいろな提携店で使える共通ポイントで、数万円分が消えてしまった人もいる。

■リスト型攻撃で不正ログイン、ポイントカードアプリ不正使用

 ローソンは9月8日、ローソンID会員向けサービスサイトにおいて、海外からの「リスト型攻撃」が断続的に行われているとして注意を呼びかけた。攻撃はその後も続いたようで、9月10日には全会員のパスワードをリセット。14日には、不正アクセスによりローソンアプリを使った「dポイント」の不正利用があったことを公表し、同社のスマートフォン用アプリ内の「デジタルdポイントカードサービス」を停止した。

 このサービスは、ポイントカードをアプリ内で表示し、プラスチックのカードの代わりに利用できるようにしたもの。ポイントカードを登録したローソンIDでアプリにログインし、アプリが表示するバーコードをレジで読み取ることで、ポイントを貯めたり、ポイントで支払ったりすることができるようになる。犯人たちは、リスト型攻撃でポイントが使えるアカウントを見つけると、アプリに適用して店頭で使っていたとみられる。dポイントの提供元であるNTTドコモでは、不正利用のおそれのあるdポイントカード約3万5000枚について、ポイントを使う機能を停止したという。

 攻撃を受けたローソンの会員サイトは、10月1日から二段階認証を導入した。会員サイトやアプリにログインする際には、ID/パスワードに加えてメールで届く6桁の確認コードの入力が必須になった。二段階認証は、リスト型攻撃による不正ログインに有効な対策であり、アプリの不正利用は難しくなったのだが、「デジタルdポイントカードサービス」は未だ再開していない。

■「Pontaポイント」「Tポイント」も標的に

 ローソンアプリは、「dポイント」のほかに「Pontaポイント」も利用することができる。共通ポイントサービス「Ponta」は9月12日、第三者が何らかの方法で取得したID/パスワードを使用してログインを試行する、「リスト型攻撃」が発生しているとして注意を呼びかけた。ポイントの不正利用については言及していないが、同時期にPontaポイントが使われたとの書き込みが、ネット上で確認されている。Pontaポイントは、会員サイトPonta Web(アカウントはリクルートID)にカードを登録することで、公式アプリや先のローソンアプリをプラスチックのカードの代わりに使えるようになる。

 「Tポイント」と「Tカード」の総合サイトT-SITEは9月19日、Tポイント提携先で第三者が「モバイルTカード」を提示して、Tポイントを不正に利用する事象が確認されたとして注意を呼びかけた。「モバイルTカード」は、公式アプリや提携アプリがポイントカードとして使える機能のこと。Yahoo!Japan IDに連携することで、この機能が利用できるようになる。

■「2段階認証」必須化、「本人様確認」導入などで不正使用防ぐ対策

 これらのポイントは、リクルートIDやYahoo!Japan IDでログインしたアプリをレジに提示すれば、支払いに使えるので、dポイントと同様のリスクがあったのだ。Ponta公式アプリは、10月22日からアプリの初回ログイン時に2段階認証を必須化しており、Tポイントも、11月15日から「モバイルTカード」の初回表示の際に登録したTカード番号や生年月日を入力する、本人様確認を導入する。ポイントカードアプリの不正使用抑制に効果が期待できそうだ。

(2018/10/26 ネットセキュリティニュース)

【関連URL】
<dポイント>
・ローソンID会員様へのアカウントメールアドレス・パスワード変更のお願い(ローソン)
https://www.lawson.co.jp/info/20180908_mai.html
・ローソンID会員様へのアカウントメールアドレス・パスワード再設定のお願い(ローソン)
https://www.lawson.co.jp/info/20180910_mai.html
・ローソンアプリでの「デジタルdポイントカードサービス」の停止のお知らせ(ローソン)
https://www.lawson.co.jp/info/20180914_app.html
・ローソンIDにおける認証「2段階認証」の開始について(ローソン)
https://www.lawson.co.jp/info/20180928_lid.html
・dポイントを安心してご利用いただくためのお願い(NTTドコモ)
https://www.nttdocomo.co.jp/info/notice/page/180830_00.html

<Pontaポイント>
・Pontaサービスを安心してご利用いただくために(Ponta Web)
https://faq.ponta.jp/as/scope3/ponta/pontaweb_pc/Detail.aspx?id=2839
・「Pontaカード(公式)」アプリにおける「2段階認証」必須化について(Ponta Web)
https://faq.ponta.jp/as/scope3/ponta/pontaweb_pc/Detail.aspx?id=2844

<Tポイント>
・【重要】第三者のなりすましによるTポイントの不正利用について(T-SITE)
http://tsite.jp/cp/index.pl?xpg=PCIC0102&cp_id=17543
・【重要】11/15 モバイルTカード利用時の認証項目の追加について(T-SITE)
http://tsite.jp/cp/index.pl?xpg=PCIC0102&cp_id=17785

投稿情報: 14:27 |

|