知って得するセキュリティのはなし その21
イオンカード不正利用約2,200万円、リスト型攻撃→アプリ不正登録で発生
1.このニュースをザックリ言うと
- 6月14日(日本時間)、イオン銀行とイオンクレジットサービス株式会社より、各社等で運営するイオンカードの公式サイト「暮らしのマネーサイト」において不正ログインが発生し、イオンカードの不正利用被害が生じたと発表されました。
- 5月28日~6月3日の間にカード会員数1,917件が不正ログイン、うち708件についてカードが不正利用されており、被害額は22,044,816円に上るとされています。
2.執筆者からの所感等
- 同社の説明によれば、いわゆる「リスト型攻撃」による不正ログインの後、電話番号を攻撃者のものに変更され、イオンカード公式のスマートフォン向けウォレットアプリとさらに別の決済アプリとの連携により、カードの不正利用が行われたとしています。
- ユーザ認証にはSMS等による二段階認証もあったと思われますが、一旦不正ログインされ、SMSによるチェックが行われないまま、そのSMSの送信先である電話番号を変更される等、一連の攻撃過程を阻止できなかったことは残念なことです。
- 今回についてユーザ側で実施可能であった対策は、リスト型攻撃への対策として度々挙げている「Webサービス毎に異なるパスワードを使用する」ことに尽き、これを行っていればカードの不正利用には至らなかったとも言えますので、二段階認証があるからとパスワードを安易なものや他のサイトと共通のものに設定するのではなく、確実に安全なパスワードを設定するよう心がけることを推奨致します。