2019年1月18日 (金)

dアカウントにリスト型攻撃?

D_acount

今朝からdアカウントがロックされたという投稿が目立っていて、短期間で急に増えているのはリスト型攻撃が行われた可能性が高いですね。

11月末から体調不良で情報収集をあまりできていませんでしたが、PayPayの騒動のあたりから不正ログインが減っていたような印象があり、クレジットカードの不正利用が増えていたような印象があります。様々なサイトでクレジットカード情報が悪用されたと思われ、特定のサイトで集中的にといった感じではなかったですね。変わったところだと本マグロの購入に使われそうになったとか…

不正ログインが減ったのは売買されたクレジットカード情報を利用するのにいそがしく、不正ログインをあまりしていなかったからという可能性があり、最近になり国内での不正利用が減ってきて海外での不正利用が増えてきているのでさらに情報が転売された可能性があります。

それでクレジットカード情報を利用しなくなったグループがまた不正ログインに変更したということも考えられます。

そのため今後また不正ログインが活発になる可能性があるのでパスワードの使い回しをせず、金銭が絡むものやメールなど重要なものには2段階認証などで対策をしたほうがよさそうです。

2019年1月10日 (木)

PayPayのポイント還元でいろいろとトラブル

ポイント還元がないといった人。おそらく家族で一つのカードを複数のアカウントに登録して利用したと思われるもの。

PayPayボーナス等が「付与取消」となる場合の理由について – PayPayからのお知らせ
https://www.paypay-corp.co.jp/notice/20190108/02/

ポイントが使われずカード払いだったという人。ポイント残高より多い金額の商品はカード払いになってしまう。

たまったPayPayボーナスが使えない? 「残高」支払い時の注意点 - ITmedia Mobile
http://www.itmedia.co.jp/mobile/articles/1901/09/news124.html

この残高による制限とカード払いの上限で高額の商品が買いたくても買えないといった人もいるためいろいろと不満に思っている人が多そうですね…

追記

不正利用の被害にあった人で自分の使用した分までポイント還元されなかった人もいるようです。それ以外にもよくわからないけどポイント還元されていないという人もいるようで、またもめるかもしれないですね…

1/12 追記

家族カードでもダメだと返答されたという話もあるようです。まだ情報が錯綜しているようですが。

ヤフオクの無在庫転売で流出クレジットカードのマネーロンダリング?

https://twitter.com/beretta8989/status/1082932003924729856

リンク先の一連のツイートですが長くなるので要約すると、Aさんから経営しているオンラインショップに金麦の注文が入る、宛先はBさん宛(北海道)だがのちにCさん(広島)に変更。受け取り後Aさんからクレジットカードの不正使用との連絡があった。

ヤフオクでBさんはビールを落札しておりBさんの送り主もAさんであった。Cさんもおそらく同一人物からヤフオクで落札。

おそらくAさんは2件でクレジットカードの不正利用、真犯人はヤフオク経由でマネーロンダリングという流れのようです。

似たような商品のために送り先を間違えたから変更したのかな?という感じですね。

最近はクレジットカードの不正利用が多いためにこういったところにまで手を出してきたのかもしれないですね。

手口から日本人と外国人両方考えられますし、個人の犯行の可能性もありそうですね。

追記

ちょっとわかりにくい書き方だったかもしれないので簡単に説明。

本来犯人がしようとしていたのはヤフオクで出品、落札されたらこの場合は楽天の店で購入して落札者に送る。無事到着するとヤフオクから入金で楽天で利用したカードの不正利用判明に時間がかかれば逃げた後。という流れのはず。

今回は発送先を間違えたと思われるのでそこが複雑に見えてしまっているんじゃないかと。

追記を書いてて思ったのは楽天への不正ログインの可能性はあるのかな?送り先の変更でも登録情報の個人情報は店側にいくのだろうか?

2018年12月27日 (木)

PayPay事件のその後

PayPayへのクレジットカードを登録しての不正利用はキャンペーンの終了なのか、不正利用が話題になったのでそれ以降は確認できない状態です。

現在は20日頃からクレジットカード会社が不正利用された期間の再チェックをやっているのか、以前の期間の不正利用での連絡や自分で明細確認をして発見したケースが中心です。

ただ、年末に近いこともあり年末年始が再発行で利用できないようになったり、この剣と関係あるか判りませんが某イベント用と思われる印刷しようとカード決済したら停止していたとの話もあり、影響はいろいろとでているようです。カードがいつ止まってもいいようにカード以外の決済方法を十分に用意しておくとか、新春セールにカードが使えないといった事態も考えられますね。

また、一人で2数3回のカード被害で130万円の被害に遭った人もいるようで、運悪くカードは複数枚被害にあう可能性も考えておいた方がいいです。

 

 

航空会社関係のカードが被害に遭うといった話もありますが、20日頃から連絡がきているのは楽天カードですのでそうとも限りませんので確認はどこのカードでもしておいた方がいいです。

LINE Payでは購入の際にチェックが厳しいとの話もあります。PayPayの件で慎重になっているのかもしれません。

今回の件ではいろいろな意見がありましたが、クレジットカードの流出被害からユーザーへの連絡まで時間がかかることを知らない人が結構いたのでそこも知られた方がいいのではと思います。

多くの場合は外部からの指摘でカード情報の流出が判明し、ほとんどカード会社からの指摘となりその時点で不正利用が複数あり流出元を状況証拠から判明している状態です。そこから調査に最短で1ヶ月ほど、さらに発表までに被害の規模などで会社ごとに違いますが時間がかかりますので、カードの不正利用の被害発生から最短でも1ヶ月はユーザーへの連絡が無いのでユーザー側が知らない間に不正利用されているケースは多いということをもっと知ってもらった方がいいかもしれないですね。

2018年12月20日 (木)

PayPayのSMS認証を匿名でする方法を考えてみた

まだ事件の全容もわからず根拠がある話って訳ではないのを最初に断っておきます。

最初に犯人の想定を手口と期間からドコモオンラインショップでiPhoneを不正ログインで購入したり、ポイントを不正に利用していたグループが11月15日のTポイントの仕様変更で次のターゲットを探していたところでPayPayのキャンペーンがあり、悪用できそうな仕組みで狙われたと考えています。

クレジット支払いだとSMS認証で電話番号とサーバーへのログなどが犯人への手がかりとなると思われますが、SMSを匿名でできれば逮捕の可能性が下がると考えられます。そこでいくつかの可能性を想定してみました。

・海外の電話番号等で身元確認が不確かなもの

PayPayが国コードに対応していないようで登録できないようです。

・訪日外国人向けの空港などで販売しているSIM

音声通話やSMSに非対応なので無理。

・SIM開通前にSMS利用

これは対策が立てられて利用できなくなったような。

・荷物の転送の仕事と称して送らせた書類でスマホやSIMを勝手に契約し自分のところに転送させる

以前にオレオレ詐欺でスマホの入手方法としてありましたが、現在は警戒されているのとグループが違うのでノウハウがないかもしれない。

・ネットで割のいい仕事として募集して逮捕のリスクは購入者だけにする

ドコモオンラインショップの事件では逮捕者も出ているのでだし子にあたる実行犯は逮捕されてもかまわないと割り切ってる可能性があります。ただ、これにはもう一歩ひねった方法も考えられて、帰国した人物などから利用していた携帯電話かSIMなどを買い取りそれを悪用すると帰国した人物が書類上の持ち主で実際の持ち主がわからないといった状況は考えられます。

個人的にはもし身元を隠してSMSを利用していたとすると、最後の帰国した人物から買い取った携帯電話かSIMを利用しているのが一番可能性が高いかなと思いますね。

SIMから個人を追えないとなると、監視カメラぐらいしか手がかりがないかもしれないので逮捕も難しいかもしれません。

12/21 追記

SNSでSMS認証代行業者というのが複数ありますね。一つ数百円程度でやるようでPayPayに対応しているのかはわかりませんが、こういったものも使われた可能性があります。ただ、ゲームチート代行業者と同じで詐欺目的のものもあるかもしれないので実際に代行業をやっているとは限りません。

2018年12月12日 (水)

PayPayでクレジットカードの不正利用

さっそくPayPayの悪用があったようです。

12/16 追記

登録していても被害に遭ったとの人もいるので複数アカウントに登録できるのかもしれないので注意した方がいいですね。

 

 

クレジットマスターによる番号の割り出しか流出したクレジットカード情報による登録により不正利用と思われます。
ページの下のコメント欄にクレジットマスターではないのではないかというコメントをいただいたのと、推測で書いていたのでこの部分は修正しておきます。ただ、非主流の方法ですが他のサイト等でも全くない攻撃ではないので明細をこまめに見るなど気をつけた方がいいとは思います。

電話番号とパスワード以外にもYahooのIDでもPayPayは登録できるようですが、初回登録にSMSによる認証があるため不正ログイン対策としても使われていれば不正ログインの危険性は低いと思われるためクレジットカードを勝手に登録されての不正利用が今後も起こる可能性はありそうですね。

追記

カード番号総当たりに引っかかっている人がいるようなので少し補足。

引用元のツイートの改変はするわけにはいかないのでそのままですが、最近増えているクレジットマスターと呼ばれるプログラムで番号等の組み合わせを調べるソフトを利用したものの可能性があるとサポートに聞いたのではないかと考えられます。

クレジットマスターでの被害?: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/11/post-0586.html

また、PayPayは3万円以上の利用の際は本人確認の書類が必要ですが、PayPayアカウントの確認の場合だと第三者のクレジットカードを登録された場合の確認作業が無いため3万円以上の買い物も簡単にされる危険性が考えられます。

3万円以上のお支払いをする場合の注意点 – PayPayからのお知らせ
https://www.paypay-corp.co.jp/notice/20181203/01/

追記

http://b.hatena.ne.jp/entry/f36type.cocolog-nifty.com/blog/2018/12/paypay-f702.html

はてブの方にPayPayの関係があるのかとのコメントがついていたので追記しておきます。

基本的にPayPayどうこうという意味は無く、どのサービスでそういった攻撃があるのかというのを書いているブログです。また、今回のPayPayの件ではカード情報ではネット通販での被害だったものが実店舗でも被害がでるという新規性はありますけどね。

12/14 追記

被害者が複数確認できますね。

 

 

 

 

 

 

 

追記

年末で忙しいのと体調不良であちこちのコメントなどをあまり見ていませんが、PayPayは利用されただけで悪くないという意見も結構あるようですが、個人的にはPayPay側にも簡単に利用できるようにしたために悪用されやすいシステムを作ったという問題があると思います。

ネットでのクレジットカードの不正利用対策として3Dセキュアのような対策を利用しているサイトもありますが、現状ではPayPayはそれを回避する決済手段として悪用される恐れがあります。

12/16 追記

公式から対処法の発表がありました。事件についての詳細な発表も出ればいいんですが。

クレジットカードに利用した覚えのないPayPayからの請求がきた
https://support.paypay.ne.jp/consumer/s/article/10003

12/17 追記

ITジャーナリストの三上洋さんがUstTodayで解説していましたのでリンクしておきます。

UstToday vol.450 - YouTube
https://youtu.be/hjWy7ui59L8?t=1800 

12/21 追記

クレジットカード支払いが月に5万円までと制限するようです。アプリ更新後も被害が出ているので(過去分の請求で再調査、怪しいものに連絡をしている?)制限をつけることで流出したカード情報の利用されても高額被害を出にくくさせようという意図だと思われますね。

 

メールだけでなく公式サイトでも公開されました。

クレジットカードご利用時の上限金額の設定について – PayPayからのお知らせ
https://www.paypay-corp.co.jp/notice/20181221/01/

12/27 追記

1月から3Dセキュア対応にするとの発表がありました。また被害も100件以上とのことです。

3Dセキュア(本人認証サービス)の対応と、クレジットカード不正利用への補償について - PayPayからのお知らせ
https://paypay.ne.jp/notice-static/20181227/01/

2018年12月 5日 (水)

キャッシュレス社会の課題

スウェーデン、5年以内に完全キャッシュレス社会へ=中銀副総裁 | ロイター
https://jp.reuters.com/article/sweden-cashless-idJPKBN1O32XC

スウェーデンでは現金をほとんど使わない社会に移行しそうですが、スウェーデン人の漫画家による内容では現金での取引を拒否できたりするそうで、カードでのやりとりが中心のようです。

北欧女子オーサのマンガ『ニッポン発見紀行』 「キャッシュレス社会」 | THE VOLVO LIFE JOURNAL
http://v-for-life.jp/asa/25/

ネットバンキングもスマホアプリでやりとりするそうですが、トラブルが起きると店舗まで行かないと解除できないとか。

こういったようにトラブルが起こり店舗まで出向かないといけないときはどうするのかといった課題がありそうです。また、操作ミス以外にもOSのアップデートなどでアプリのトラブルが起こることも考えられるので、そういったときにどうするのかといった問題点もありそうです。

また、スマホでおサイフケータイなどを利用していたときに情報が残ったまま中古に出回るリスクというのもあり、特にAndroidではキャリアなら店で情報を完全に消去できますがSIMフリー端末の場合はユーザーが完全消去できずスマホのメーカーに送って削除してもらうことになります。(残っているデータとそのデータで何ができるかまではわからないですが…)

SIMフリースマホのおサイフケータイ、いざというときのリセット方法を調べてみた - ケータイ Watch
https://k-tai.watch.impress.co.jp/docs/column/minna/1075628.html

iPhone、iPad、iPod touch を売却、譲渡、下取りに出す前にやっておくべきこと - Apple サポート
https://support.apple.com/ja-jp/HT201351

他にもよくいわれている点として、災害や事故などで停電や回線が使えなくなった場合など以外にも、過去にはマルウェアで電子マネー決済が停止したこともあります。そのためサイバー攻撃にもある程度弱いと考えておいた方がいいと思います。

マクドナルド店舗の端末がマルウェア感染、電子マネー決済に障害 4日経っても復旧できず - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1706/20/news094.html

こういったことから、キャッシュレスでも支払い方法はクレジットカードと電子マネーなど複数の方式を持っていないとトラブルの時に弱いという問題点がありますし、そうなると低所得者や未成年などにどうするのかといった課題も出てきますね。

また、中小零細企業の経営者の視点から考えると、端末と手数料などを割り引くという方針でもいいですが、それ以外の視点としてサービスごとに違ういつ振り込まれるかとの時間の観点も重要です。また、現金に比べるとこれだとメリットが少ないと考えられるために現金だと自分でつけている帳簿が自動的に仕分けされるなどの多少の手数料でメリットがあると思わせる広報をしないと普及しないんじゃないかと個人的には思っています。

12/12 追記

PayPayを利用しようとしたところクレジットカード会社側で不正利用と判断されて利用できなかったとのツイートがありました。間違いだったので連絡するとすぐ解除できたと思われますが、本当に不正利用だった場合はクレジットカード支払いにしていたPayPayも同時に再発行までの10日前後は利用できなくなったと思われるため、こういった利用による落とし穴といったこともありそうですね。

2018年12月 3日 (月)

Uberの不正ログイン

米ウーバーが大阪でも来年からタクシー配車、万博・IRを好機に | ロイター
https://jp.reuters.com/article/uber-osaka-idJPKBN1O20R8

見かけたのは一人だけで他に被害が出ていないようなので記事にせずに情報収集を継続ということにしていましたが、日本でもタクシー配車サービスを開始するということで登録ユーザーも増えると思われるので注意喚起としてどういった被害があったのかを紹介をしておきます。

こちらの被害はアカウントに不正ログインされて不正利用されたと思われます。具体的にどういった手口でアカウントの情報を入手して利用したのかはわかりませんが、こういった被害は十分に考えられるので悪用されないように対策は必要になります。

Uber

ログイン画面はこのようになり、UberのアカウントなのかFacebookやGoogleのアカウントでの利用かもわからず、そちらのアカウントに不正ログインされてから連携しているサイトを調べて利用された可能性もあり、どういった方法で不正利用したかは現時点では不明で悪用できるアカウントはすべて金銭被害にあう可能性があると考えて対策が必要です。

また、今回はチップでの被害ですが、以前聞いた話(確実に正しいとはいえませんが)では、行き先を変えた場合は料金を運転手と利用者の交渉で決めることになると聞いたことがあります。その場合はチップ以外の運賃での高額請求ということも考えられるのでもっと大きな額での被害を請求されるかもしれないと知っておいた方がいいですね。

こちらのブログではUberにメールアドレスとパスワードで登録し使い回していて何度もログインされそうになったという人もいますね。

Uberのアカウントが乗っ取られた!? 対処方法は? サポートの対応は?
https://kengyo-syufu.com/2018/09/uber-account-cracked/

2018年11月19日 (月)

クレジットマスターでの被害?

 

 

夏以降クレジットカードの不正使用の被害が多いと感じていたので情報収集を密にしていましたが、スキミングやネットでの情報流出やフィッシングとも考えにくい被害が出てきます。

可能性として考えているのがプログラムでカード番号等を割り出すクレジットマスターという方法での被害と思われるものや、カード会社でそう説明されたというのを見かけます。

カードを盗まれたり利用していなくとも被害にあう攻撃なので、利用明細を調べるようにしてカード会社からの通知や連絡を拒否しないようにしておいてすぐに気づける状態にしておいた方がいいかもしれませんね。

12/11 追記

このようなツイートが一定数見つかるんですよね…

2018年11月14日 (水)

Appleへの不正ログインの増加

Apple IDがロックされる現象が多数あり不正ログインの失敗による影響ではないかという記事が出ていますが、ここ最近はAppleへの攻撃は増えていると思われます。不確かな感覚による推測ですが、通常の数倍程度(最大で5倍ぐらい?)は攻撃があるのかなという風に感じていますが、その他のサイトへの攻撃が多くてあまり目立っていないという現状です。

表示されている攻撃元はほとんどが中国ですね。

主な被害はiTunesでのゲームへの課金。Ark of War:Galaxy Pirate FleetやLords Mobile: War Kingdomにアーミーメン・ストライクというのは見かけています。

ロックされた原因がこれらかどうかまではわかりませんが、攻撃が増えているのはツイートの増加などから感じてはいます。

«Tポイントの不正はワンタイムパスワードでは防げないらしい