2018年9月16日 (日)

Yahooの不正ログインでTポイントが提携店で不正使用?

 

 

dポイントと同じような被害がTポイントでもおきたと思われます。

こちらはポイント狙いと思われるログインです。

 

 

下記ページによるとYahooの登録情報からTカード番号の確認ができるようです。

Yahoo! JAPAN IDに登録しているTカード番号がわかりません | Tサイト[Tポイント/Tカード] -よくあるご質問・お問い合わせ
http://qa.tsite.jp/faq/show/18961

ここから不正ログインで情報を調べて不正使用した可能性があります。
追記で訂正を入れています。

とりあえずパスワードの使い回しをせずにワンタイムパスワードやシークレットIDなどで不正ログイン対策をするしかなさそうです。

今後は他のポイントなども同じような被害が出てくることが予想されますので、パスワードの使い回しをせずに被害にあわないように予防を心がけるようにしてください。

追記

Tポイント/Tカードを持っていないので確認できなかったんですが、どうやらdポイントと同じ方法では無理そうでアカウント乗っ取りによるアプリの認証といった方法かもしれないようです。

2018年9月13日 (木)

smart WAONウェブサイトで不正ログイン

Waon

メンテナンス中 | 《公式サイト》スマートワオン | smart WAON | smartWAON.com
https://www.smartwaon.com/

被害があったとのツイートを見かけて注意しているとこのような事態になっていました。

不正ログインによる停止なのでリスト型攻撃の可能性が高いと考えていますが、少し気になるのが1ヶ月ほど前にドコモのdポイントの被害でも使われたのではないかと思われる非公式のポイントアプリに対して注意喚起をしていたことです。

Waon2

<ご注意>弊社非公式アプリでの『WAON』サービス対応について | 電子マネー WAON [ワオン] 公式サイト
https://www.waon.net/info/20170807_caution/

さらに遡ると四国電力のよんでんコンシェルジュの不正ログインでの被害でもWAONに交換されていたといった被害があったため、以前からWAONが悪用されていた可能性があります。

現時点では情報不足なため、とりあえずここまでです。

9/14 追記

リスト型攻撃がうけていたようです。

WAON POINTのサイトがリスト型攻撃で閉鎖中、40人がポイントを奪われる | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02667/

「お友だちプレゼント」という機能で第三者にポイントを送った形跡があった。とのことで、この機能を使って別のアカウントへポイントを移動させていたようですね。

2018年9月11日 (火)

災害時の不正ログイン被害の危険性

先週は台風に地震と災害で停電という事態がありスマホでの安否確認や情報収集といった使い方をされる人が多かったと思いますが、そんな中に北海道で地震の数時間後にLINEで不正ログインされそうになったとのツイートがありました。

当時は停電中で安否確認などでLINEはよく使われていると思われますが、乗っ取られた場合や不正ログインが短時間で何度も失敗した場合にアカウントが数日ロックされログインできなくなるといった事態が起こるかもしれないという可能性がありました。

LINE以外にも他のアカウントでも不正ログインによる乗っ取りやアカウントのロックで利用したいときに利用できないといった状態になる危険性が考えられるため、普段からパスワードの使い回しなどを避けて不正ログインされにくい環境を作っておくことをおすすめします。

2018年9月 8日 (土)

dポイントが加盟店で不正利用される被害 その2

dポイントが加盟店で不正利用される被害: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/08/d-9088.html

前回の記事の続きです。

情報が少ない中、手口はコレではないかと推測していましたが別の可能性が出てきました。前回の記事で書いた対策として書いていた2段階認証も効果がない可能性があります。

2段階認証を設定していて被害に遭い、アクセスログも公表している人がいました。

dポイントが不正利用された体験記!その手口について考察&効果的な対策とは | ケータイ乞食から陸マイラーへ
https://www.k-taimiler.com/entry/dpointcard-unauthorized-use

dアカウントへのログイン履歴が残されていないとのことでログインしない別の方法ではないかということです。

「dポイントカード」の不正利用について | 負けない投資術 ■ ポイント投資 サヤ取り
https://ameblo.jp/pointtoushi/entry-12403505705.html

こちらのブログでもdポイントカード番号が何らかの方法で知られて悪用されているのではないかという話になっているようです。

Twitterでの観測ではdアカウントへの不正ログインが減っているようなので手法を切り替えてきたという可能性も考えられますが、ユーザー側では被害を防ぐのが難しい攻撃という可能性があります。

これらのブログのような攻撃が行われているとすれば、ドコモ側からも何らかの情報を出し対策をした方がよさそうですね。

追記

dポイントとローソンのPontaの両方で被害があったという人もいたので調べていると、ローソンアプリに登録しているdポイントを切り替えて利用できるためそちら狙いの可能性もありそうです。

ローソンID会員様へのアカウントパスワード変更のお願い|ローソン
https://www.lawson.co.jp/info/20180908_mai.html

俺のdポイントを返せ!dポイント、Pontaの不正使用が横行!実際に数万dポイントを盗まれました。 - イクメン陸マイラーの、家族を旅行に連れてって!!
https://mileagelove.hateblo.jp/entry/dpoint-fuseishiyou

 

 

9/11 追記

こちらのブログによるとdポイントカード番号をドコモのサイトに入力することで返信メッセージから利用中のものかどうかの判断ができるようです。

ドコモのセキュリティ意識の低さが浮き彫りに | 負けない投資術 ■ ポイント投資 サヤ取り
https://ameblo.jp/pointtoushi/entry-12403930854.html

また、最初に記述した2段階認証をしていたのに被害にあった人の使われ方を見ると、123円と162円と2度に分かれています。ここから推測すると、まず少額で利用しレシートに記述されているポイントの残高を確認してから残りを利用するという手口ではないかと考えています。ここからもポイント残高のわからないdポイント番号を使った犯行という線と矛盾点は出てこないんですよね。裏付けるように2016年の記事でローソンでdポイントを利用した記事でレシートにポイント残高が印刷されていました。

dポイントをローソンで使ってみた。あまりにも簡単にポイント利用できる | おさいふプラス
https://jin-plus.com/lawson-dpoint-riyou/

dアカウントを持っていないため自分で試すことができないので現在もこの通りかまでは確認は取れませんでしたが、dポイントカード番号を利用しての被害であった場合はすべてのdアカウントユーザーが被害にあう可能性があるために不正ログイン対策をしているので大丈夫とはいえない可能性があります。たまっているポイントをあらかじめ使っておくなどの対策で被害を最小限になるように対策するなども有効かもしれません。

9/11 追記

下記ブログでポイント利用に使用されたアプリはStocardではないかということで検証までしています。第三者のアプリで認証もなく簡単に利用できてしまうのが被害拡大の原因の一つといえそうですね。

これがdポイント不正利用・盗難被害の手口か?dポイントカード偽造方法の再現で驚きの事実が発覚! | JALマイルとANAマイルがいっぱいあったらいいのに…
https://www.hanayao.xyz/entry/dpoint-crime-truth

9/12 追記

原因が判明したようで発表がありました。

ドコモの「dポイント」で不正利用、3万5000枚のカードで利用停止 - ケータイ Watch
https://k-tai.watch.impress.co.jp/docs/news/1142716.html

 不正利用の声を受けて進めた調査では、ドコモに対するサイバー攻撃は確認されなかった。このため同社の二段階認証には問題はないと判断しているという。

 しかし、とあるdポイント加盟店のWebサイトへ不正利用があったようだ、とNTTドコモ。この不正アクセスで、dポイントカードの番号と残高が第三者に盗み見られ、不正に利用された可能性がある。

 ドコモでは、具体的な不正の手口、また不正アクセスを受けた加盟店の名前は非開示としているが、今後の悪用を防ぐための対策は実施したとのこと。電話窓口も用意し、影響を受けたユーザーへ個別に対応していく。

(中略)

 ローソンIDには、Pontaの番号や、dポイントカードの番号を登録できる。現在は、末尾三桁だけが見える形だが、ローソン広報によれば、サイトへのリスト攻撃が発生していた段階でもdポイントカード番号は末尾3桁だけ表示されており、全ての桁は見えない状態だったとのこと。

とのことでローソン以外の加盟店のサイトが原因のようです。

ローソンのサイトで確認してみましたが、少なくとも現在は画像のような表示になっていますね。

Lowson

どこのサイトでどのような攻撃を受けたまではわかりませんが、これで不正利用がおさまれば問題の解決となりそうです。

9/16 追記

ローソンアプリでの「デジタルdポイントカードサービス」の停止のお知らせ|ローソン
https://www.lawson.co.jp/info/20180914_app.html

このたび、9月13日にローソンIDサイトの不正アクセスにより、ローソンアプリを使ったdポイントの不正利用があったことが判明いたしました。そのため、ローソンアプリ内のdポイントカードの番号が表示されている「デジタルdポイントカードサービス」を一時停止させていただきます。

ローソンのサイトから出なくアプリに表示されるのでそこからの流出だったようです。

4月にAndroidのローソンアプリが新しくなり新旧両方インストールできる状態になっていたんですが、そのときに両方のアプリでログイン状態になっていても通知も何もなかったりと複数端末でログイン状態になっていても検知する機能すらなかったかもしれません。厳しくするとログインできないなどのトラブルも増えるのでそれも問題だったりしますけどね…

2018年8月29日 (水)

dポイントが加盟店で不正利用される被害

この数日dポイントが加盟店で利用される被害が出てきています。

おそらくモバイルdポイントカードアプリに不正ログインで登録した情報からポイントを利用されたと思われます。登録はWi-Fi接続の場合のdアカウントのIDとパスワードが利用されたと考えられ、今月問題になったドコモオンラインショップが商品購入時に2段階認証をするように変更しましたが、こちらの登録には必要なかったのかもしれません。そこをついた攻撃の可能性があります。

モバイルdポイントカードについて|d POINT CLUB
https://dpoint.jp/ctrw/web/information/app_mobile_dpointcard.html

現在手口は推測ですが、リスト型攻撃の可能性が考えられるため、パスワードの使い回しをしない、2段階認証を利用するといった対策で予防するしかなさそうです。

2段階認証をしていても破られたという人も出たため追加で記事を書きました。 (9/8)

dポイントが加盟店で不正利用される被害 その2: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/09/d-2-07ed.html

8/30 追記

ドコモからのお知らせ : dポイントを安心してご利用いただくためのお願い | お知らせ | NTTドコモ
https://www.nttdocomo.co.jp/info/notice/page/180830_00.html

<dポイントカード利用停止のお問合せ先>
dポイントカスタマーセンター
0120-208-360
受付時間:24時間 年中無休

<本件全般に関するお問合せ先>
ドコモインフォメーションセンター
0120-800-000(一般電話などから)受付時間:午前9:00~午後8:00(年中無休)

一部のIP電話からはご利用になれません。
(局番なし)151(無料)(ドコモの携帯電話番号から)受付時間:午前9:00~午後8:00(年中無休)※一般電話などからはご利用になれません。

ドコモから今回の件でお知らせが出ました。上記電話番号で対応するようです。

被害に遭った場合は問い合わせをしてみてください。

8/30 追記

不正ログインがあったと思われるアカウントをロックしメールで通知をしているようです。

 

2018年8月28日 (火)

モラタメ.netにリスト型攻撃

サンプル&試供品を無料でお試し!新商品のクチコミ情報満載|モラタメ
不正ログインのご報告とパスワード変更のお願い 2018/08/28
http://www.moratame.net/wp/support/

2018年8月25日(土)午後9時30分以降、
「モラタメ.net」にて、第三者による不正ログインがあったことが判明しました。
2018年8月28日(火)午前1時20分時点にて、
個人情報漏えい等の形跡が無いことを確認できております。

不正ログイン、他社ポイントに不正交換された可能性がある
会員の皆さまにつきましては、
セキュリティ保護の観点から緊急の措置として、
パスワードをリセットいたしました。
個別にメールにてご連絡をしておりますので、ご確認ください。

また今回の不正ログインは、他社サービスから流出された
メールアドレス/パスワードを利用した可能性があると推測されます。
そのため、他サービスと同一のID/パスワードをご利用のお客さまは、
今回の不正ログインの対象でなくとも、

パスワード変更のご対応をお願いいたします。

会員か該当者にはメールも送信しているようです。

狙いはおそらくポイントで、WAONやnanacoなどに交換できるようで四国電力の攻撃と同じようにポイント交換をしようとしていたと思われます。

モラタメポイントについて
https://www.moratame.net/contents/point_support.php

これら以外にもポイント狙いではないかという攻撃がいくつかありますので、普段から狙われているサイト以外もポイントを利用しているところは注意が必要かもしれません。

こちらは前回の記事で一人しか書いている人がいないため確認が取れず書かなかったものですが、「ふるなび」というふるさと納税のサイトで攻撃がありメールが送られてきたとのブログがありました。こちらの記事によると目的はクレジットカード支払いでもらえるポイントで交換して奪うつもりではなかったんじゃないかという考察です。

ふるさと納税サイト「ふるなび」にも不正ログイン狙うパスワードリスト型攻撃発生 : 白ロム転売法
https://shiromcom.exblog.jp/27066225/

これらのように普段狙われていないサイトが狙われている可能性がありますが、普段から狙われているYahooでもポイント関連でちょっとした動きがあります。

Tポイントがコンビニで使われたという被害で、どうもスマホアプリでカードを使わずに使用できる仕様を悪用されたのではないかという話で、過去に家電量販店でも悪用された攻撃がTポイントでも利用されたということのようですね。

2018年8月24日 (金)

ニュースになっていない攻撃

四国電力のよんでんポイントのサイトへリスト型攻撃がおこなわれたと会員にメールが送られたようです。

実際に被害に遭った人によるとWAONポイントに変更されたようです。

こちらのサイトは2017年10月にも攻撃を受けていて、ユーザーの地域が限られていると思われるサイトに何度も攻撃がおこなわれるのに理由があると考えた方がいいかもしれません。例えば四国地方にしかチェーンのない店から情報流出があり流出した会社は気づいていないといったことも考えられますね。

追記

プレスリリースが発表されました。
http://www.yonden.co.jp/press/re1808/data/pr006.pdf

四国電、不正アクセス被害 顧客149人ポイント奪われる…他社の電子マネーなどに交換 - 産経WEST
https://www.sankei.com/west/news/180824/wst1808240082-n1.html

こちらの記事によると

23日午前に顧客から「身に覚えのないポイント交換がされている」との連絡があり発覚。サービスは7月末時点で四国4県を中心に約22万7千人が登録している。8月22日夕から23日夕にかけ、登録者数を上回る数の不審なアクセスがあった。

とのことで、登録者を上回る数ということで23万以上だとすると、ここ1年は他サイトで0.5%程度の成功率のリスト型攻撃にしては不正ログインの成功率が極めて低いので四国以外の地域のものも含まれているパスワードリストを使用したリスト型攻撃だった可能性がありますね。

追記終わり

次は(D)DoS攻撃?の疑いです。

 

 

1日に2度の大量アクセスでサイトへの接続できない状態になっていたようです。

他に不正ログインだとAmazonがここ数ヶ月高水準で攻撃を受けているようです。

知らないレビューをされていたや50円で購入されていたといったもののほか、知らないカードと知らない住所に変更されて購入されていたといった被害もあるようです。

この1週間ぐらいだとNetflixで登録していたメールアドレスを知らないものに変更されたという被害が増えています。

今日になりSpotifyでも登録していたメールアドレスを知らないものに変更されたといった被害が出てきてます。

SNSのレイバン系が少し下火になっている代わりに他のサイトへの攻撃が増えているような感じがしますね。これだけ被害があってもパスワードの使い回しがなくならいようですから…

2018年8月15日 (水)

eoIDにリスト型攻撃

ケイ・オプティコムからリスト型攻撃があったとの発表がありました。

eoIDに対する不正なログインについてのお知らせ|ケイ・オプティコムからのお知らせ|ケイ・オプティコム
http://www.k-opti.com/announce/180815/index.html

8月13日(月)22時05分から8月15日(水)11時53分の期間に6,307件の不正ログインがあったようです。

不正ログインに関するツイートが少し増えていたので注目していたところ発表がありましたね。実際に不正ログインされた人が公開していたIPアドレスによるとQNAPのNASのログイン画面が表示されるため踏み台を利用しての攻撃のようです。

2018年8月11日 (土)

ドコモオンラインショップの不正ログインでiPhoneを注文される被害が発生中

8月13日 追記

ITmediaでドコモに取材した記事によると、どこかのサイトから流出したパスワードによるリスト型攻撃とのことのようです。そのため対策はパスワードの使い回しをしない、2段階認証を利用するという方法で防げます。

ツイートの中には使い回しをしていないといった人もいたため別の攻撃方法の可能性も想定して調べていましたが、リスト型攻撃だったようですね。

「iPhone X」不正購入被害1000件 「ドコモオンラインショップ」に不正ログイン、リスト型攻撃で - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1808/13/news084.html

現在確認されているドコモ側の対策はiPhoneをコンビニ受け取り対象外にしたようです。

 

8月15日 追記

ドコモオンラインショップで追加の対策が行われたようです。

ここから追記前の記事

ここ数日でドコモオンラインショップにて知らない間にiPhoneを注文されていたといったツイートが複数見つかっています。現在時間がたつにつれて被害が増えている状態になっています。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2018年8月 8日 (水)

Amazonでマーケットプレイスの販売実績アップのための不正ログイン?

最近Amazonでやらせのレビュー関係の記事がいくつかありましたし、こちらも不正ログインでレビューを書かれていたという被害が6月頃から再度増えていたのもわかっていましたが、それとは別に不正ログインでマーケットプレイスでの販売実績のために不正ログインで購入していたという可能性があります。

上記のツイートによると同じ店で大量にしかもバラバラの商品を50円という同じ金額で購入していることになっていて、さらに被害者自身が支払いしていないということから商品ではなく別の目的での行為と考えられます。

こちらのツイートでは支払いは被害者自身ですが、同じように50円の商品を購入されているようです。

ここからは推測ですが、販売実績狙いで優良店舗にしてから通常のユーザーをだまそうとするための準備ではなかったかと考えています。商品が実際に届かなくても売買の記録が残りクレームもなければ通常の販売が行われたとみなされると考えての犯行ではないかと。

レビューでの評価以外にこのような手があるかもしれないので犯罪に加担しないようにパスワードの使い回しと推測されやすいパスワードを使用せず、パスワード管理ソフトなどを使用して使い回しをしないようにしたり2段階認証などを利用してみた方がいいですよ。

Amazonは他にも注文した記憶がないのに注文されていてサポートに連絡しても不正ログインではないといってキャンセルはしてもらえたものの釈然としないといった話を複数見かけています。可能性としてはAIスピーカーや1-Click注文などで誤って注文されたか、不正ログインされていたのを国内からのIPアドレスでサポートが本人と誤認したかじゃないかと考えていますが、ユーザー側にログイン履歴が見ることができないのでこれ以上は調べられないんですよね…

追記

個人用メモ

https://www.amazon.co.jp/sp?_encoding=UTF8&asin=B07G5ZPT1N&isAmazonFulfilled=0&isCBA=&marketplaceID=A1VC38T7YXB528&orderID=&seller=A3KMYNT09L13WE&tab=&vasStoreID=

«楽天に中国からリスト型攻撃?