2018年10月20日 (土)

Tポイントの不正使用が実店舗からヤフオクに変化?

Tポイントの不正使用で対策がなかなか進んでいないと思っていたところ店舗でスマホのみでなくカードも提示するように求められたとのツイートを見かけましたが、その少し前から店舗以外の被害というのも見かけるようになりました。

具体的にはYahooに不正ログイン後、ヤフオクでかんたん決済でポイント支払いに設定しているようです。

Yahooアカウントの不正ログイン対策で防ぐべきで、パスワードの使い回しをしない、推測されやすいものはしない、シークレットIDの利用、ワンタイムパスワード等があります。

Amazonの不正ログインで代引きによる被害

これは極端ですけど、身に覚えのない代引きがAmazonから届いたというのがここ1ヶ月ほどで増えています。それ以前はコンビニ支払いですでに支払った状態で発送される連絡から気づきレビューもされていたといった不正ログインは今年は多かったですが、家族が知らずに受け取り支払ってしまい金銭被害が出かねない不正ログインがでてきています。

コンビニ支払いの時のように星5のレビューだと高評価のレビュー目的でマーケットプレイスの出品者が怪しいということになりますが、最近になってこれとは違ったものも観測されています。

こちらのように星1のレビューを不正ログインでされていたという被害で、この場合は出店している店というよりは競合している店が怪しいというわけで真相がわかりにくくなっています。

またメールアドレスやパスワードを変更されて乗っ取られている被害も増えているのでそれらの注意も必要です。

パスワードの使い回しをしない、推測されやすいものは使用しない、2段階認証を利用する、登録に利用したメールアドレスも同じように対策するといった方法が有効です。

なかには勘違いする人もいますが、パスワードの使い回しは現在だけでなく過去も使い回していない組み合わせになります。推測されやすいものも、他サイトと一部の文字列だけの変更したものは複数のパスワード流出で推測されやすいと考えてください。

AmazonはTwitter上でもトラベル解決へのサポートをしてるようですから、パスワード等が変更されて困っている場合はそちらに問い合わせてみるのもいいですね。

https://twitter.com/AmazonHelp

2018年10月18日 (木)

楽天ポイントで龍角散を不正購入の個人的まとめ

「楽天ポイント」不正入手し“爆買い”|日テレNEWS24 http://www.news24.jp/articles/2018/10/18/07407028.html

他人の楽天ポイントで「爆買い」=容疑で指示役の中国人逮捕-警視庁:時事ドットコム https://www.jiji.com/jc/article?k=2018101800650&g=soc

他人のポイントで商品詐取 容疑の中国人逮捕 警視庁  :日本経済新聞

龍角散を不正購入か 大気汚染の中国で転売目的?(18/10/18) - YouTube

中国籍の男、ポイント盗み「咳止め薬」を大量購入 TBS NEWS

他人のポイント不正利用の疑い 指示役の中国人の男逮捕 | 共同通信 - This kiji is

 同課によると、これまでに購入役の留学生だった中国人6人が逮捕され、有罪判決を受けており、劉容疑者が指示したとみられる。

とのことで関連すると思われる記事を記録していたものを。

「楽天」「ビックカメラ」の他人のポイント使い商品購入 中国籍の男3人を逮捕、グループで犯行か 警視庁 - 産経ニュース
http://www.sankei.com/affairs/news/170919/afr1709190019-n1.html
 他人が所有する、インターネット通販大手「楽天」や、家電量販店「ビックカメラ」のポイントを使って商品をだまし取ったなどとして、警視庁サイバー犯罪対策課は、詐欺などの疑いで、埼玉県川口市芝園町の無職、魏星(ウェイシン)容疑者(23)ら中国籍の男3人を逮捕した。魏容疑者ら2人は容疑を認め、1人は否認しているという。
 魏容疑者の逮捕容疑は、別の人物と共謀して昨年10月、東京都内のドラッグストアで他人の所有する楽天ポイントを使って医薬品「龍角散ダイレクト」計72点(販売価格約4万円)などをだまし取ったとしている。他の男2人の逮捕容疑は昨年10~11月、都内のビックカメラで他人のポイントを使ってデジタルカメラ(同約6万7千円)などをだまし取ったとしている。
 同課によると、ビックカメラのポイントは、利用する際にパスワードや生年月日が必要。魏容疑者らは何らかの方法で入手した大量の個人情報を基にビックカメラのサーバーに不正アクセスを試みる「リスト型攻撃」を行い、ポイントを悪用していたとみられる。
 魏容疑者らはいずれも元留学生で、リスト型攻撃を行った人物を含めた同一の犯行グループに所属しているという。同課はグループによる被害総額が少なくとも約200万円に上るとみて捜査している。

【ポイント詐欺事件】狙われる「同一ID・パスワード」 リスト型攻撃被害への対策は? - 産経ニュース
http://www.sankei.com/affairs/news/170919/afr1709190029-n1.html
 楽天やビックカメラのポイント不正利用の手口となったとみられる「リスト型攻撃」は、IDやパスワードを使い回すユーザーが多いというセキュリティーの“隙”を突いた手法だ。捜査当局は犯罪グループの摘発を強化し、企業も警戒や監視を強めている。一方で、専門家は「パスワードの使い回しはやめ、管理ツールなどを活用すべきだ」と利用者にも対策を取るよう呼びかけている。
 リスト型攻撃とは、犯人が入手した不特定多数のパスワードなどをリスト化し、さまざまなサイトにコンピュータープログラムを使って手当たり次第に入力、複数のサイトへの不正アクセスを試みる手口。ビックカメラのサーバーには、4日間で約47万回にわたってアクセスを試みた形跡が残っていた。
 捜査関係者によると、リスト型攻撃に使われる個人情報は、企業への不正アクセスによって流出したり、違法情報の取引が行われる闇サイトなどで取引されたりしている可能性がある。ユーザーがIDやパスワードを使い回している場合、1つのサイトで流出すれば、別のサイトでも被害に遭う確率が高まる。
 情報セキュリティー大手「マカフィー」の広報担当者は「利用者側も自衛のための対策が必須だ」と警鐘を鳴らす。パスワードの使い回しを避けるとともに、こまめな変更もセキュリティー強化に有効。「パスワードを覚えきれない」と悩む利用者には、複数のパスワードを管理するソフトの活用などを提案している。

警視庁:「リスト型攻撃」で詐取容疑、ポイント不正使用 - 毎日新聞
https://mainichi.jp/articles/20170919/k00/00e/040/209000c
3人逮捕
 他人になりすまして家電量販店などで商品をだまし取ったとして、警視庁サイバー犯罪対策課は19日、中国籍の専門学校生、于冰冰(ユ・ビンビン)容疑者(24)=川崎市川崎区下並木=ら3人を詐欺と不正アクセス禁止法違反容疑で逮捕したと発表した。同課は流出したIDとパスワードのリストから利用可能なIDなどを割り出す「リスト型攻撃」で入手した情報を悪用したとみて調べる。【安藤いく子】
 逮捕容疑は昨年10~11月、家電量販店「ビックカメラ」の東京都内の店舗で、携帯電話を操作して同店のポイントを使うためのサイトに接続し、他人のIDとパスワードを入力。商品を購入するために必要なバーコードを携帯電話の画面に表示させ、店員に見せてデジタルカメラなど3点(計約9万3000円相当)をだまし取ったとしている。他にドラッグストアで商品を詐取した疑いもある。
 グループは他人のポイントを使用していたとみられる。于容疑者は「友人に頼まれた」と容疑を否認しているが、他の2人は認めているという。同課は3人が逮捕容疑を含めて約200万円分の商品を詐取し、転売していたとみている。
 同課によると、ビックカメラの顧客サイトは昨年10月、不特定多数のIDとパスワードを連続して入力する「リスト型攻撃」を4日連続で計約47万回受けていた。約4000回で合致して同サイトで使えるIDとパスワードが割り出され、その情報を入手した于容疑者らが買い物をしたとみられるという。
 同店などが警視庁に被害を相談。同課は店の防犯カメラの映像などを基に、于容疑者らを摘発した。
同じID・パス、被害温床
 リスト型攻撃はインターネット上に流出した個人のID、パスワードのリストを使い、別のサイトにそのID、パスワードなどを入力する攻撃だ。多数の組み合わせから利用できるものを割り出し、持ち主になりすまして商品をだまし取ることなどが目的とみられる。
 国内では2013年ごろから被害が確認されている。14年9月には佐川急便の会員サイトがリスト型とみられる攻撃を受け、約3万4000人の個人情報が不正アクセスされた。16年11月にはローソンが同様の攻撃を受け、約18万円分のポイントが不正使用される被害があったと発表している。
 情報セキュリティー会社「トレンドマイクロ」によると、攻撃に使われる個人情報のリストは匿名化ソフトを使わないと閲覧できない「ダークウェブ」と呼ばれる闇サイトで売買され、犯罪組織が悪用している可能性があるという。
 同社の鰆目(さわらめ)順介シニアスペシャリストは「被害に遭わないためには、複数のサイトで同じIDやパスワードを使い回さないなど対策が必要だ」と指摘する。【安藤いく子】

詐欺:流出個人情報、量販店サイトに47万回入力 「リスト型攻撃」で詐取容疑、ポイント不正使用 警視庁3人逮捕 - 毎日新聞
https://mainichi.jp/articles/20170919/dde/041/040/045000c
 他人になりすまして家電量販店などで商品をだまし取ったとして、警視庁サイバー犯罪対策課は19日、中国籍の専門学校生、于冰冰(ユビンビン)容疑者(24)=川崎市川崎区下並木=ら3人を詐欺と不正アクセス禁止法違反容疑で逮捕したと発表した。同課は流出したIDとパスワードのリストから利用可能なIDなどを割り出す「リスト型攻撃」で入手した情報を悪用したとみて調べる。【安藤いく子】
 逮捕容疑は昨年10~11月、家電量販店「ビックカメラ」の東京都内の店舗で、携帯電話を操作して同店のポイントを使うためのサイトに接続し、他人のIDとパスワードを入力。商品を購入するために必要なバーコードを携帯電話の画面に表示させ、店員に見せてデジタルカメラなど3点(計約9万3000円相当)をだまし取ったとしている。他にドラッグストアで商品を詐取した疑いもある。
 グループは他人のポイントを使用していたとみられる。于容疑者は「友人に頼まれた」と容疑を否認しているが、他の2人は認めているという。同課は3人が逮捕容疑を含めて約200万円分の商品を詐取し、転売していたとみている。
 同課によると、ビックカメラの顧客サイトは昨年10月、不特定多数のIDとパスワードを連続して入力する「リスト型攻撃」を4日連続で計約47万回受けていた。約4000回で合致して同サイトで使えるIDとパスワードが割り出され、その情報を入手した于容疑者らが買い物をしたとみられるという。
 同店などが警視庁に被害を相談。同課は店の防犯カメラの映像などを基に、于容疑者らを摘発した。
同じID・パス、被害温床
 リスト型攻撃はインターネット上に流出した個人のID、パスワードのリストを使い、別のサイトにそのID、パスワードなどを入力する攻撃だ。多数の組み合わせから利用できるものを割り出し、持ち主になりすまして商品をだまし取ることなどが目的とみられる。
 国内では2013年ごろから被害が確認されている。14年9月には佐川急便の会員サイトがリスト型とみられる攻撃を受け、約3万4000人の個人情報が不正アクセスされた。16年11月にはローソンが同様の攻撃を受け、約18万円分のポイントが不正使用される被害があったと発表している。
 情報セキュリティー会社「トレンドマイクロ」によると、攻撃に使われる個人情報のリストは匿名化ソフトを使わないと閲覧できない「ダークウェブ」と呼ばれる闇サイトで売買され、犯罪組織が悪用している可能性があるという。
 同社の鰆目(さわらめ)順介シニアスペシャリストは「被害に遭わないためには、複数のサイトで同じIDやパスワードを使い回さないなど対策が必要だ」と指摘する。【安藤いく子】

他人のポイントで商品購入=不正アクセス容疑、中国人逮捕-警視庁:時事ドットコム
https://www.jiji.com/jc/article?k=2017091900546&g=soc
 不正アクセスで他人のポイントを利用し、家電量販店「ビックカメラ」で商品を購入したとして、警視庁サイバー犯罪対策課は19日までに、不正アクセス禁止法違反と詐欺の疑いで中国人留学生の于冰冰容疑者(24)=川崎市川崎区下並木=ら2人を逮捕した。于容疑者は「友人に買ってくるよう頼まれただけだ」と否認しているという。
 同課は同じグループの中国人で無職魏星容疑者(23)=埼玉県川口市芝園町=も詐欺容疑で逮捕。このグループが少なくとも約200万円分のポイントを不正に使ったとみて裏付けを進めている。
 于容疑者の逮捕容疑は2016年10月、同社のスマートフォンアプリに他人のIDとパスワードを入力し、ポイントを使えるバーコードを表示。東京都内の店舗で示し、デジタルカメラ1台(約7万円)を購入した疑い。
 同課によると、ビックカメラには同月1~4日、流出したIDとパスワードの組み合わせによる不正アクセスをさまざまなサイトで試みる「リスト型攻撃」が47万回あった。このうち不正にログインされた痕跡が約4000件あり、同年10~11月に計約133万円分のポイントが使われたという。
 魏容疑者は他人の楽天ポイントを使ってドラッグストアで医薬品72点(約4万円相当)を購入した疑いが持たれている。

ビックカメラは昨年540万円分被害 リスト型攻撃多発:朝日新聞デジタル
http://www.asahi.com/articles/ASK9M2SMQK9MUTIL005.html
 家電量販店のサーバーに不正アクセスして得たポイントで商品をだまし取ったとされる事件。警視庁によると、今回の手口は「リスト型攻撃」と呼ばれる。ハッカーらによって不特定多数のパソコンから盗み出されるなどしたIDとPWを犯行グループが入手してリスト化。様々なサイトに片っ端から機械的に入力してアクセスを試みるもので、同様の被害は全国で相次いでいる。
 サイバー犯罪対策課によると、今回の事件では、ビックカメラのサーバーに昨年10月1~4日に不正アクセスが約47万件あり、うち約4千件でログインに成功していた。昨年1年間で、同社のポイントの不正利用とみられる被害が約540万円分あったという。
 このうち昨年10~11月にあった約130万円分のポイント不正利用が、于容疑者らを含む中国人グループによるリスト型攻撃によるもので、ログインに成功したIDとPWを「買い子」に伝えてポイントを取得させ、買い物させていたとみている。
 同課は、都内の「ダイコクドラ…

他人のポイント不正入手、商品詐取容疑 中国人2人逮捕:朝日新聞デジタル
http://www.asahi.com/articles/ASK9M2SJ2K9MUTIL004.html
 家電量販店のサーバーに不正アクセスして得たポイントで商品をだまし取ったとして、警視庁はいずれも中国籍の留学生、于冰冰(24)=川崎市川崎区=と職業不詳、張鳳陽(27)=埼玉県入間市=の両容疑者を詐欺と不正アクセス禁止法違反の疑いで逮捕し、19日発表した。于容疑者は「友人に頼まれただけだ」、張容疑者は「何かの犯罪になると思っていた」と話しているという。
 サイバー犯罪対策課によると、それぞれ昨年10月と11月、家電量販店「ビックカメラ」のポイント情報を管理するサーバーに不正アクセスして他人のポイントを入手。このポイントを使い、東京都内の2店舗でデジタルカメラなど3点計約9万円相当の商品をだまし取った疑いがある。
 ポイントは、店舗やネット通販などでの商品の購入金額に応じてたまる仕組み。1ポイント=1円換算で、スマートフォンのアプリでも利用できる。IDとパスワード(PW)などを入力すると表示されるバーコードをレジに通す仕組みで、2人はこの方法で商品をだまし取っていたという。

東京新聞:楽天ポイント不正利用 中国籍3人を詐欺容疑で逮捕:社会(TOKYO Web)
http://www.tokyo-np.co.jp/article/national/list/201709/CK2017091902000222.html
 通販サイト大手「楽天」や家電量販店「ビックカメラ」の他人のポイントを使い、商品をだまし取ったとして、警視庁サイバー犯罪対策課は十九日、詐欺の疑いで専門学校生の于氷氷容疑者(24)=川崎市川崎区下並木=ら中国籍の男三人を逮捕したと発表した。サイバー犯罪対策課は同様の手口で商品をだまし取ったとして、五月に詐欺容疑などで別の中国人の男三人を逮捕。中国人詐欺グループが、転売目的で組織的に繰り返していたとみている。
 同課によると、楽天で不正利用されたのは「楽天スーパーポイント」など。男らは何らかの方法で他人のIDやパスワードを入手し、楽天の会員サイトに不正アクセス。手元のカードでポイントを使えるように登録し、商品を購入していた。ビックカメラでは、スマートフォン用のアプリから他人のIDで不正にログイン後、店頭で商品を購入。ポイントで支払えるバーコード画面を示していた。
 両社は昨年十~十一月、計約二百万円分のポイントが不正に使われる被害が発生。ビックカメラは同十月の四日間に複数のパスワードとIDで不正アクセスを試みる「リスト型攻撃」を約四十七万回受け、うち約四千件で不正にアクセスされた。
 アクセスできたIDやパスワードを使い、商品を購入していたとみられ、同課は他にも指示役やリスト型攻撃に関与した人物がいるとみている。
 三人のうち于容疑者ら二人の逮捕容疑は昨年十~十一月、東京都内のビックカメラで埼玉県の四十代男性ら二人のポイントを使い、デジタルカメラ(販売価格約六万七千円)などを詐取したとされる。残る一人の容疑は昨年十月、都内のドラッグストアで佐賀県の五十代男性ら二人の所有する楽天ポイントを使い、医薬品約七十点(同約四万円)をだまし取ったとされる。

他人のポイントで商品詐取 容疑の中国人逮捕 警視庁  :日本経済新聞
https://www.nikkei.com/article/DGXLASDG19H4E_Z10C17A9CC0000/
 他人に付与された家電量販店のポイントを使って商品をだまし取ったとして、警視庁サイバー犯罪対策課は19日までに、専門学校生、于氷氷容疑者(24)=川崎市川崎区下並木=ら中国籍の男2人を詐欺と不正アクセス禁止法違反の疑いで逮捕した。同課によると、于容疑者は容疑を否認している。
 インターネット通販会社のポイントで医薬品計約4万円分をだまし取ったとして、中国籍の無職、魏星容疑者(23)=埼玉県川口市芝園町3=も詐欺容疑で逮捕した。同課は3人が同じグループに所属し、詐取した商品を転売して利益を得ていたとみている。
 于容疑者らの逮捕容疑は2016年10~11月、家電量販店のサイトに他人のIDとパスワードで接続し、店頭でポイントを勝手に使ってデジタルカメラやオーディオ機器(計約9万3千円相当)などの購入を申し込み、詐取した疑い。
 同課はグループの仲間がサイバー攻撃で家電量販店から会員の個人情報を盗んだ可能性があるとみている。

相次ぐポイント不正使用|佐賀新聞LiVE
http://www.saga-s.co.jp/news/saga/10101/464870
 買い物に利用できるポイントサービスが、不正アクセスで勝手に使われる被害が相次いでいる。「無料のサービスが多く、手軽さから簡単なパスワードを設定するなど、セキュリティーが甘くなりがち」と警視庁幹部。企業も対策強化に乗り出している。
 楽天のポイントを巡っては、愛知県警が昨年、詐欺容疑などで中国籍の専門学校生らを逮捕。他人のポイントで避妊具などの購入を繰り返していた。この事件では、会員サイトへの不正アクセスは約4万件、被害は約930万円に上るとみられる。
 共通ポイント「Ponta(ポンタ)」に参画するローソンでも昨年、会員向けサイトが不正アクセスされ、会員3人のポイント計約18万円分が使われた。利用者が自身の保有ポイントを把握していないため発覚が遅れることや、被害が少額で申告されないケースもあるとみられる。
 被害防止のため、企業も対策を講じている。楽天はサイトへのサイバー攻撃や不正ログインを社員が常時監視。会員向けには、アカウントにログインした時間や端末のIPアドレスをメールで知らせるサービスなどを提供している。
 情報セキュリティー大手「トレンドマイクロ」によると、同じIDやパスワードを使い回していると、犯罪集団に入手された場合、被害が拡散する恐れがある。担当者は「企業側のセキュリティー強化だけでなく、利用者がこまめにパスワードを変えることが重要」と強調した。【共同】

“神薬”の龍角散…楽天P不正入手で爆買い|日テレNEWS24
http://www.news24.jp/articles/2017/09/19/07373030.html
 他人の「楽天ポイント」などを不正に入手していた中国人グループの男が逮捕された。中国人グループは不正に得たポイントで喉の薬「龍角散」を“爆買い”していたという。一体、なぜ龍角散だったのだろうか―。
 詐欺の疑いで逮捕されたのは、埼玉県川口市に住む中国人・魏星容疑者(23)。去年、都内のドラッグストアで他人の楽天ポイントを使い、「龍角散ダイレクト」72個、約4万円分をだまし取った疑いが持たれている。
 魏容疑者らのグループは他人のIDとパスワードを使って楽天のウェブサイトに不正にアクセスした上、勝手に作ったポイントカードと他人の楽天ポイントをひも付けして使用できるようにし、店舗で龍角散ダイレクトを購入したという。
 同様の被害に遭った店舗関係者「中国人らしき2人が入ってきて免税の商品を買っていく際に免税ではなくて『ポイントカードで買う』と。万単位のポイントがたまっていたので、こんなにためられるのかなとちょっと怪しいと思って」
 逮捕された魏容疑者らの中国人グループは、去年10月の10日間で35人分の楽天ポイントを不正入手し、約70万円分の龍角散ダイレクトを購入したという。一体、なぜ龍角散ダイレクトを大量購入したのだろうか―。
――龍角散の商品がズラリと並んだ中国の販売サイト。「1つでも配送料無料」という文字とともに、龍角散ダイレクトが1つ、約730円で売られていた。
 特に人気が高い12種類の日本の薬は、中国では“神薬”と呼ばれている。PM2.5など大気汚染に影響を受けた喉に効果があると宣伝するサイトもあり、龍角散は“神薬”の1つに選ばれているという。
 こうした人気を受けたのか、龍角散の購入は転売目的だった疑いのある魏容疑者。「不正な行為だとわかってやりました」と容疑を認めているという。
 都内に住む女性は去年6月頃、自分の楽天ポイントが不正に使われたことに気付いた。約1万円分のポイントが使われ、勝手に買い物がされていたという。ポイントの不正入手が横行しているのだろうか。
 ポイントを不正に使用された被害者「買い物をしようとしたら(ポイントが)1万弱ほどなくなっていて、履歴を見たら自分が買い物をしていないのにポイントが1万ポイントくらい使われているというのが、ポイントを使って決済しましたみたいな、そういう感じ。ちょっと怖かったですね。それからためるの怖いなって、しばらくはある程度たまったらすぐ使うという感じはしました」
 警視庁は、この中国人グループが楽天ポイントや量販店のポイントで、これまでに少なくとも200万円以上の不正な購入を繰り返した疑いがあるとして捜査を進めている。

他人の楽天ポイントで不正購入の疑い 中国人逮捕 | NHKニュース
http://www3.nhk.or.jp/news/html/20170919/k10011147511000.html
大手IT企業「楽天」の他人のポイントを不正に入手してドラッグストアで医薬品を購入したとして、中国人の男が詐欺の疑いで逮捕されました。警視庁は、男らのグループが他人のポイントを使って医薬品などを繰り返し購入し、転売していたと見て調べています。
逮捕されたのは、埼玉県川口市に住む中国人で無職の魏星容疑者(23)です。
警視庁によりますと、魏容疑者は、去年10月、東京・新宿区歌舞伎町のドラッグストアで、不正に入手した現金と同じように使える「楽天」のポイントで、医薬品およそ70点合わせて4万円分を購入したとして、詐欺の疑いが持たれています。
ポイントを利用するにはパスワードが必要ですが、何らかの方法で全国の35人から不正に入手していたと見られています。
警視庁によりますと、調べに対して、「不正な行為だとわかっていた」などと供述し、容疑を認めているということです。これまでに魏容疑者のグループの中国人が5人逮捕されていて、警視庁は他人のポイントを使って中国で人気の医薬品などを繰り返し購入し転売していたと見て調べています。

ポイントカードの他人のポイント使い爆買い 逮捕の中国人の背後に複数グループか : J-CASTテレビウォッチ
https://www.j-cast.com/tv/2017/09/20308944.html
  他人のカードのポイントを不正に使って買い物をしていた中国人3人が、詐欺などの容疑で逮捕された。しかし、彼らはどうやら末端の実行者。他人のIDやパスワードを盗み出す連中がいるはずで、犯罪は今も進行中とみていいだろう。捉えどころがないポイント。オレオレ詐欺に代わる新たな手口か。
  警視庁・目白署に先月31日逮捕されたのは、魏星容疑者(23)ら中国人3人。昨年10月~11月、ショッピングサイトや家電量販店のポイントを不正に使用し、薬局から、中国で人気の「龍角散ダイレクト」を大量購入していた。転売目的とみられる。
  その手口はこうだ。まず、カード所有者のID、パスワードを不正に入手し、所有者になりすまして「楽天」のサイトに入り、楽天のポイントをドラッグストアのカードで使えるように登録する。そしてドラッグストアで商品を購入する。
  当のドラッグストアでは、「ポイントが万単位だったので、こんなにためられるのかな? と怪しいと思った」という。この時は2人で「龍角散」ばかり72点、4万円だったが、グループは35人分の楽天ポイント使って、約70万円分を買っていた。ポイント自体は本物、売買も本物だ。
さらにもうひとつ、家電量販店「ビッグカメラ」のポイントも狙った。他人になりすまして「ビッグカメラ」のサイトに侵入。他人のポイントを自分のスマホに表示して、買い物ができるようにしていた。これで、デジカメやオーディオプレーヤーなど、約9万円分を購入していた。グループは、「楽天」や「ビッグカメラ」トータルで、200万円分以上を購入していたい疑いがある。
  魏容疑者は、容疑を認めているという。SNSで「儲かるバイトがある」と知り、アルバイト感覚で始めたという。専門家は「リスト型攻撃」だという。警視庁も同じ見方だ。
ハッキングでID・パスワードを盗む
「リスト型攻撃」とは、IDを保存しているサイトが不正ハッキングされ、ID・パスワードを盗まれる。これがリスト化されて闇サイトで売買されていることから、この名前がついた。入手したグループは、他のサイトにアクセスするなどして「有効性」を確かめた上で、リストを実行グループに渡すのだという。
「ビックカメラ」によると、昨年10月、リスト型攻撃の形跡が4日間で約47万回あり、うち約4000回、不正にログインされたという。4000回もすごいが、47万回も尋常ではない。相当な集団が存在しているということだろう。しかもサイトは1つ2つではないのだ。
  犯罪者にとってリスト型攻撃が有効なのは、使用者が複数のサイトで同じID・パルワードの組み合わせを使っていることだと、専門家は言う。理由は、いくつもあると混同する、忘れちゃう、ということだが、これが犯罪者を利する。
  司会の加藤浩次「この手の話では必ず、IDとパスワードの話になる」
  近藤春菜(お笑い芸人)「いろいろやっても、結局忘れちゃって、入れないとか。で、シンプルになっちゃう」
  飯田泰之(経済学者)「面倒臭いのでね」
  加藤「僕は2つだけ」(笑)
  で、どうしたらいいかで、やっぱりパスワードの作り方などの講釈になった。
  それよりも、この犯罪のポイントは、被害者がほとんど気づかないことでは? ポイントは今や、誰でも持ってる。が、使わない人はいくらでもいる。盗まれても気がつくまい。
  日本全体で、ポイントはどれくらいあるかを考えたら、まさに宝の山だ。やっぱり中国人なのか。日本人は本当お人好しに見えるだろうな。

楽天でビックカメラであなたのポイントが狙われてる - ニッカン : 日刊スポーツ
https://www.nikkansports.com/general/nikkan/news/201709200000177.html
 通販サイト大手「楽天」や家電量販店「ビックカメラ」で他人のポイントを使い、商品をだまし取ったとして、警視庁サイバー犯罪対策課は19日までに、詐欺と不正アクセス禁止法違反の疑いで川崎市の専門学校生、于氷氷(ユ・ビンビン)容疑者(24)ら中国籍の男3人を逮捕した。于容疑者ら2人の逮捕容疑は昨年10~11月、都内のビックカメラで埼玉県の40代男性ら2人のポイントを使い、デジタルカメラ(販売価格約6万7000円)など3点を詐取した疑い。残る1人の容疑は昨年10月、都内のドラッグストアで佐賀県の50代男性ら2人の所有する楽天ポイントを使い、医薬品約70点(同約4万円)をだまし取った疑い。
 両社では昨年10~11月、計200万円分のポイントが不正に使われる被害が発生。ビックカメラでは、同10月の4日間に「リスト型攻撃」を約47万回受け、うち約4000件で不正にアクセスされた。
 ◆リスト型攻撃 不正入手によりリスト化された他人のIDやパスワードを利用し、他のサイトなどにアクセスを試みるもの。利用者が同じID・パスワードの組み合わせを複数のサイトで使い回している場合、侵入を許してしまう。

楽天などで不正爆買い 中国人「ポイント泥棒」盲点と手口|事件|ニュース|日刊ゲンダイDIGITAL
https://www.nikkan-gendai.com/articles/view/newsx/213932
「楽天」や「ビックカメラ」の他人のポイントを使って商品をだまし取ったとして、警視庁サイバー犯罪対策課は不正アクセス禁止法違反と詐欺の疑いで、無職の魏星(23=埼玉県川口市)と専門学校生の于冰冰(24=川崎市川崎区)両容疑者ら中国籍の男3人を19日までに逮捕した。
 昨年10月、魏容疑者は別の男らと共謀し、東京都新宿区のダイコクドラッグ2店舗で、他人のポイントを利用して龍角散ダイレクト72点、約4万円相当を購入した疑い。
「ダイコクカードは店内にあり、裏面に記載されている数字を楽天の会員サイトで入力すると、楽天ポイントが移行できる仕組みになっています。店内にいた魏容疑者とは別の人物がその場でスマホを使って不正アクセスし、買い子の魏容疑者に指示。魏容疑者はレジで『ポイントで払います』と言って、10日間で35人分のIDとパスワードを使い、計70万円相当、1200箱の龍角散ダイレクトを爆買いしていた。龍角散ダイレクトは大気汚染のひどい中国では『神薬』と呼ばれるほど人気。日本では1箱520円ほどだが、中国では750円程度で販売されていることから、転売していたとみられています」(捜査事情通)
 一方、于容疑者ら2人は同年10~11月、都内のビックカメラでデジカメなどの購入代金として、約133万円分の他人のポイントを使っていた。
「于容疑者はビックカメラのスマホアプリに、埼玉県在住の40代男性ら2人のIDとパスワードを入力。ポイントを使うには、生年月日を入れてバーコードを提示しなければならず、それもクリアしていることから、犯人グループは何らかの方法で生年月日が載った個人情報のリストを入手した可能性が高い」(前出の捜査事情通)
 ビックカメラのサーバーには昨年10月1~4日にかけ、流出したIDやパスワードが他のサイトでも利用できるかを試みる「リスト型攻撃」が約47万回あり、そのうち約4000件で不正にアクセスされたという。
 警視庁は昨年5月、同様の手口で商品をだまし取ったとして、別の中国人の男3人を逮捕。元留学生の魏容疑者は「儲かるバイトがある」という中国のSNSの投稿を見て応募し、メールで会員のIDなどを受け取っていた。そして学生時代の友人たちに声を掛け、10人前後で犯行グループを形成。他にも指示役やリスト型攻撃をした人物、さらに背後には中国のサイバー犯罪グループが関与しているとみている。
「複数のサイトで同じIDとパスワードを使っているケースは多く見られ、メアドをIDにしている人もたくさんいる。いったんメアドが流出し、パスワードまで解明されてしまうと、使い回しているサイトで次々不正にアクセスされてしまうため、被害が増えています。しかもポイントカードの場合、クレジットカードと比べてセキュリティーが厳しくない上、いつポイントが使用されたか分かりません。そもそもどれくらいポイントが貯まっているかも把握していないケースが多いため、発覚しにくい。そういう意味では盲点を突いた犯罪です」(捜査関係者)
 ポイントは貯めずにさっさと使うか、IDにはメアドを使わず、パスワードもマメに変更するしかない。

「楽天」への不正アクセス 男は起訴内容一部否認|佐賀新聞LiVE
http://www.saga-s.co.jp/news/saga/10102/465202
 通販サイト大手「楽天」のIDやパスワードを不正に入手し、他人のポイントで東京都内のコンビニで商品を購入したとして、不正アクセス禁止法違反などの罪に問われた中国籍の飲食店従業員の被告(24)=千葉県市川市市川南1丁目=の初公判が20日、佐賀地裁であった。被告はIDの入手やポイントの使用は認めたが、「違法性があるとは思わなかった」と起訴内容を一部否認した。
 楽天などの他人のポイントを使って商品をだまし取る別の詐欺事件で、別の中国籍の容疑者が複数、警視庁に逮捕されており、背後に詐欺グループが存在する可能性もありそうだ。
 検察側は冒頭陳述で、肖被告が今年3月下旬ごろ、氏名不詳の人物から、他人の楽天ポイントで特定の商品を買う仕事を1日1万5千円で持ち掛けられたと主張。複数のIDやパスワードを受け取った上、仲間も募って複数回、買い物を繰り返したと指摘した。
 起訴状などによると、被告は、小城市の30代男性が所有する楽天IDとパスワードを不正に取得し、4月3日午後2時ごろから同3時ごろまでの間、都内のコンビニでポイントを使って食料品など約1900円分を購入した。
 同じ罪に問われていた都内の中国籍の女子大学生は、法廷で起訴状と異なる生年月日を申告し、19歳の未成年だったことが確認されたため訴えが棄却された。家庭裁判所に送致される見通し。

起訴された「21歳」「未成年の可能性」 佐賀地裁が公訴棄却 - 西日本新聞
https://www.nishinippon.co.jp/nnp/national/article/360137/
 他人のポイントを使ってコンビニで食品をだまし取ったとして、詐欺などの罪に問われた中国籍の女性被告=東京都板橋区=の初公判が20日、佐賀地裁であった。杉原崇夫裁判官は「21歳」として起訴された被告について「未成年である可能性が否定できない」として公訴を棄却した。被告は今後、家裁へ送致される。
 佐賀県警によると、被告のパスポートなどの公的記録では生年月日が「1996年3月6日」となっており佐賀地検も成年として起訴。しかし公判で弁護側は、被告の生まれた中国の病院が発行した「出生医学証明書」の写しを提出。証明書によると被告の年齢は19歳で、被告本人も自ら未成年だとしているという。
 被告は4月、中国籍の男と共謀し、スマートフォンで同県小城市の30代男性のIDやパスワードを使い、ショッピングサイトへ不正にログインしたほか、男性名義のポイントを使い、都内のコンビニでお好み焼きなど9点(約2千円)をだまし取ったとして、詐欺と不正アクセス禁止法違反の罪で起訴されていた。

楽天ポイント不正取得の中国籍の女、未成年と判断 佐賀地裁が公訴棄却 - 産経WEST
http://www.sankei.com/west/news/170921/wst1709210076-n1.html
 通販サイト大手「楽天」の他人のポイントを不正取得し、食料品などをだまし取ったとして、詐欺罪などに問われた中国籍の女の被告=東京都板橋区=について、佐賀地裁(杉原崇夫裁判官)が未成年の疑いがあり少年法の手続きを経てないとして公訴棄却の判決を言い渡したことが21日分かった。佐賀地検は佐賀家裁へ送致した。
 佐賀県警などによると、被告のパスポートと在留カードは偽造ではなく、生年月日が「1996年3月6日」となっていた。佐賀地検も成年と判断して起訴した。
 しかし、弁護側によると被告は起訴された当時から「自分は未成年だ」と主張。弁護側は20日の初公判で、中国の病院が発行した被告が未成年であることを示す「出生医学証明書」の写しを提出し、地裁が公訴棄却の判断をした。
 起訴状などによると今年4月、被告は中国籍の男と共謀して、佐賀県内の30代男性のIDやパスワードを不正に使用。東京都内のコンビニでポイントを使い、お好み焼きなど9点(約1900円相当)をだまし取ったとして、詐欺と不正アクセス禁止法違反の疑いで逮捕、同罪で起訴された。

不正アクセスの中国人被告 起訴内容認める 佐賀地裁で初公判|事件・事故|佐賀新聞ニュース|佐賀新聞LiVE
http://www.saga-s.co.jp/articles/-/153449
 他人のIDやパスワードを不正に入手するなどして、不正アクセス禁止法違反などの罪に問われた中国籍の女子大生(20)=東京都=の初公判が27日、佐賀地裁(杉原崇夫裁判官)で開かれ、女子大生は起訴内容を認めた。
 検察側は冒頭陳述で、被告(25)=同罪などで公判中=から犯行を持ち掛けられ、IDやパスワードの書かれたリストを受け取ったと指摘。女子大生は「(被告(25)に)利用されただけで、(IDやパスワードが)盗まれたものだとは知らなかった」と述べた。
 起訴状によると、女子大生は、小城市の30代男性などが所有する通販大手サイト「楽天」のIDとパスワードを不正に取得し、4月3日午後2時ごろから3時ごろまでの間、都内のコンビニでポイントを使って食料品など約1900円分を購入したとしている。

他人の楽天ポイント使用、起訴内容認める コンビニで食料品など9点購入|事件・事故|佐賀新聞ニュース|佐賀新聞LiVE
http://www.saga-s.co.jp/articles/-/154092
 通販大手サイト「楽天」の他人のポイントで食料品を購入したなどとして、詐欺などの罪に問われた中国籍の被告(22)=東京都北区=の初公判が29日、佐賀地裁(杉原崇夫裁判官)で開かれ、被告は起訴内容を認めた。
 起訴状によると、被告は別の被告(25)=同罪などで公判中=らと共謀し、4月3日午後2時ごろから3時ごろまでの間、佐賀県小城市の30代男性の楽天IDに不正アクセスし、都内のコンビニでポイントを使い食料品など9点を購入した。

不正アクセス 女子大生に有罪判決 佐賀地裁|事件・事故|佐賀新聞ニュース|佐賀新聞LiVE
http://www.saga-s.co.jp/articles/-/158681
 通販大手サイト「楽天」の他人のIDを不正に取得するなどしたとして、不正アクセス禁止法違反などの罪に問われた中国籍の女子大生(20)=東京都=の裁判で、佐賀地裁は11日、懲役2年、執行猶予3年(求刑懲役2年6月)の判決を言い渡した。
 杉原崇夫裁判官は判決理由で、犯行時に未成年だった女子大生は、被告(25)=同罪などで公判中=から受け取ったIDとパスワードで指定された商品を購入するなど「従属的な立場だった」とした。
 判決によると、4月3日に小城市の30代男性が所有する楽天IDに不正に接続し、都内のコンビニでポイントを使って食料品など9点を購入するなどした。

2018年10月 9日 (火)

楽天ペイ(アプリ決済)で楽天ポイントの不正利用?

昨日までの3連休の間に楽天ペイで楽天ポイントの不正利用が発生しているようで複数の被害を見かけています。

楽天ペイを利用したこともないという人やローソンで利用されていたということからdポイントやTポイントと同じようにリスト型攻撃で狙われたと考えられます。

楽天ペイ: 使い方
https://pay.rakuten.co.jp/guide/

おそらく公式アプリを利用した不正ログインによる利用と考えていますので、不正ログイン対策として2段階認証がありませんのでパスワードの使い回しをしないやユーザIDをメールアドレスから任意の文字列への変更が有効で、ログインアラートで通知する方法もあります。

【楽天市場|公式ヘルプ】ユーザIDを変更したい場合
https://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/9174

今回の攻撃とみられる楽天市場への不正ログインが増えている兆候がありましたのでアカウントを持っている人は対策をした方がいい状態です。

また、普通のリスト型攻撃以外にもメールアドレスを乗っ取ってからそのメールアドレスで登録しているサイトへ不正ログインをする攻撃もありますので、登録に利用しているメールアドレスも同様に対策が必要です。

10/13 追記

11日にローソンでの楽天ペイの支払金額の上限を4,000円までと変更したようです。

ローソンでのお支払いにおいて、利用条件はありますか? | 楽天ペイ: よくあるご質問
https://support.pay.rakuten.net/faq/show/1751?site_domain=appuser

Rakutenpay

利用できるお支払方法|ローソン
https://www.lawson.co.jp/service/payment/settlement/

Rakutenpay2

2018年9月26日 (水)

Tポイントの不正利用に変化

Yahooの不正ログインでTポイントが提携店で不正使用?: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/09/yahoot-fd51.html

こちらの記事の続きです。

上記の記事ではYahooのログイン履歴にはポイントと表記されていましたが、今日見かけたツイートではT-SITE(外部)と変わっていたのでログインで攻撃するページが変更している可能性があります。

また、回線も公開されていますが、au回線とPonta Webでの情報と同じだったので同じグループがやっている可能性があります。

2018年9月23日 (日)

Ponta Web(リクルートID)にリスト型攻撃?

Pontaポイントへの被害がdポイントと少し前のほぼ同時期からありましたが、ローソンがらみでの被害ではないかと考えていましたがこの画像を見てどうやら違うようだと言うことに気づきました。

9月10日にローソンIDのパスワードリセットを開始していてパスワードが変わっているはずですし、最初にPonta Webを利用しているところも違います。どうもPontaポイントを高島屋をはじめとする提携店で利用する被害が続いているようで、ローソンとは関係のない別の方法での攻撃のようです。

Pontaweb

リクルートIDに最初はAWSからで次はau回線から。サーバーでログインできるのが判明するとすぐに実行犯へ指示を出しているという感じでしょうか。

スマホのアプリでの利用と考えられますが、まだ情報不足で確定まではできません。

対策としては2段階認証が利用できるようなのでそちらの利用ですが、メールによるワンタイムパスワードのようですからそちらのメールアドレスのセキュリティも重要です。

よくあるご質問|ポイントターミナル Ponta [ポンタ]
Pontaサービスを安心してご利用いただくために
https://faq.ponta.jp/as/scope3/ponta/pontaweb_pc/Detail.aspx?id=2839

リクルートIDのセキュリティ対策について
https://point.recruit.co.jp/doc/security/security.html

2018年9月21日 (金)

リスト型攻撃は本当か、ケイ・オプティコムの情報漏洩の記事への個人的見解

リスト型攻撃は本当か、ケイ・オプティコムの情報漏洩 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01042/

要略すると初期IDにはケイ・オプティコムから割り振られた12桁の数字が使われているはずなのでリスト型攻撃ではなくリバースブルートフォース攻撃ではないか?という内容です。

実際にどのような攻撃がおこなわれたかわからず推測が入りますのでご了承を。

まず、ケイ・オプティコムのサービスにはeo光のような有線でのサービスと電話回線を利用したmineoのサービスと大きく分けると2つありますが、この時の被害で目立ったのはmineoユーザーだったというのがポイントです。

eo光での回線開通時の書類はこちらにサンプルがあります。

eoIDを利用したことがない方|eoユーザーサポート
https://support.eonet.jp/inquiry/eoid/no_use.html

たしかに12桁の数字が割り振られていてユーザー自ら変更しない限りそのままのはずです。パスワードを使い回しているユーザーがわざわざ初期IDや初期パスワードを変更するだろうか?というのはもっともです。

ですがmineoは少し違いこちらの4月に公開されたブログにあるように自分でeoIDとパスワードを登録して初期IDや初期パスワードとして利用する事になるようです。

mineo(マイネオ)のeoIDって何?何に使えるの? - SIMチェンジ
https://simchange.jp/mineo-id-password/

今日調べてみても同じ画面が表示されます。

お申し込みの流れ|mineo(マイネオ)
https://mineo.jp/apply/

Mineo

このように調べた限りではmineoユーザーはリスト型攻撃を受けるリスクはあったと判断できます。メールアドレスの@より後を省略してIDとして利用していた場合や他のサイトなどでニックネームやユーザーネームとして登録していたような名前をeoIDに利用していた場合は他のサイトから流出した情報からリスト型攻撃を受けてもおかしくないという状況はそろっていたと思われますのでケイ・オプティコムの発表に矛盾点があるとも思えません。

実際にどのような攻撃が行われたかはわからないのであくまでも推測ですけどね。

e+のリスト型攻撃の被害の特徴

【重要】e+会員ログインパスワード変更のお願い | e+(イープラス) お客さまサポート
http://support.eplus.jp/%E3%80%90%E9%87%8D%E8%A6%81%E3%80%91e%E4%BC%9A%E5%93%A1%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E5%A4%89%E6%9B%B4%E3%81%AE%E3%81%8A%E9%A1%98%E3%81%84/

9/19にリスト型攻撃を受けていると思われる発表をしましたが、その前日から異変に気づいていて情報収集中でした。複数の被害を見かけましたが少し特徴的で特定のチケットの購入とアカウントの持ち主と違うクレジットカードを登録して購入していているようです。

アカウントの持ち主と別のクレジットカードを登録して利用する手口は以前からありましたが、これだけまとまって同じ攻撃であるのは記憶にありません。また、個人的な観測では1週間ほど前からクレジットカード情報が悪用されたという内容のツイートが増えていたことからクレジットカード情報がまとまって流出していることが考えられます。数ヶ月後にカード会社から指摘されて流出を調査した会社の発表があるかもしれないですね。

2018年9月16日 (日)

Yahooの不正ログインでTポイントが提携店で不正使用?

 

 

dポイントと同じような被害がTポイントでもおきたと思われます。

こちらはポイント狙いと思われるログインです。

 

 

下記ページによるとYahooの登録情報からTカード番号の確認ができるようです。

Yahoo! JAPAN IDに登録しているTカード番号がわかりません | Tサイト[Tポイント/Tカード] -よくあるご質問・お問い合わせ
http://qa.tsite.jp/faq/show/18961

ここから不正ログインで情報を調べて不正使用した可能性があります。
追記で訂正を入れています。

とりあえずパスワードの使い回しをせずにワンタイムパスワードやシークレットIDなどで不正ログイン対策をするしかなさそうです。

今後は他のポイントなども同じような被害が出てくることが予想されますので、パスワードの使い回しをせずに被害にあわないように予防を心がけるようにしてください。

追記

 

 

Tポイント/Tカードを持っていないので確認できなかったんですが、どうやらdポイントと同じ方法では無理そうでアカウント乗っ取りによるアプリの認証といった方法かもしれないようです。

9/20 追記

19日にサイトでお知らせがでました。

【重要】第三者のなりすましによるTポイントの不正利用について
http://tsite.jp/cp/index.pl?xpg=PCIC0102&cp_id=17543&CP_SYUBETU=1

さらに20日にはモエバイルTカードを利用するとメールが送られるようになったり、実物のカードの提示を求められたりするようになったようです。

2018年9月13日 (木)

smart WAONウェブサイトで不正ログイン

Waon

メンテナンス中 | 《公式サイト》スマートワオン | smart WAON | smartWAON.com
https://www.smartwaon.com/

被害があったとのツイートを見かけて注意しているとこのような事態になっていました。

不正ログインによる停止なのでリスト型攻撃の可能性が高いと考えていますが、少し気になるのが1ヶ月ほど前にドコモのdポイントの被害でも使われたのではないかと思われる非公式のポイントアプリに対して注意喚起をしていたことです。

Waon2

<ご注意>弊社非公式アプリでの『WAON』サービス対応について | 電子マネー WAON [ワオン] 公式サイト
https://www.waon.net/info/20170807_caution/

さらに遡ると四国電力のよんでんコンシェルジュの不正ログインでの被害でもWAONに交換されていたといった被害があったため、以前からWAONが悪用されていた可能性があります。

現時点では情報不足なため、とりあえずここまでです。

9/14 追記

リスト型攻撃がうけていたようです。

WAON POINTのサイトがリスト型攻撃で閉鎖中、40人がポイントを奪われる | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02667/

「お友だちプレゼント」という機能で第三者にポイントを送った形跡があった。とのことで、この機能を使って別のアカウントへポイントを移動させていたようですね。

9/25 追記

21日の発表で被害者数が52人に増えてます。

【セキュリティ ニュース】WAONのポイント不正移行、被害者数を上方修正 - 個人情報流出の可能性も(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/098231

http://www.aeonmarketing.co.jp/pdf/news_20180915.pdf

«災害時の不正ログイン被害の危険性