2018年12月 5日 (水)

キャッシュレス社会の課題

スウェーデン、5年以内に完全キャッシュレス社会へ=中銀副総裁 | ロイター
https://jp.reuters.com/article/sweden-cashless-idJPKBN1O32XC

スウェーデンでは現金をほとんど使わない社会に移行しそうですが、スウェーデン人の漫画家による内容では現金での取引を拒否できたりするそうで、カードでのやりとりが中心のようです。

北欧女子オーサのマンガ『ニッポン発見紀行』 「キャッシュレス社会」 | THE VOLVO LIFE JOURNAL
http://v-for-life.jp/asa/25/

ネットバンキングもスマホアプリでやりとりするそうですが、トラブルが起きると店舗まで行かないと解除できないとか。

こういったようにトラブルが起こり店舗まで出向かないといけないときはどうするのかといった課題がありそうです。また、操作ミス以外にもOSのアップデートなどでアプリのトラブルが起こることも考えられるので、そういったときにどうするのかといった問題点もありそうです。

また、スマホでおサイフケータイなどを利用していたときに情報が残ったまま中古に出回るリスクというのもあり、特にAndroidではキャリアなら店で情報を完全に消去できますがSIMフリー端末の場合はユーザーが完全消去できずスマホのメーカーに送って削除してもらうことになります。(残っているデータとそのデータで何ができるかまではわからないですが…)

SIMフリースマホのおサイフケータイ、いざというときのリセット方法を調べてみた - ケータイ Watch
https://k-tai.watch.impress.co.jp/docs/column/minna/1075628.html

iPhone、iPad、iPod touch を売却、譲渡、下取りに出す前にやっておくべきこと - Apple サポート
https://support.apple.com/ja-jp/HT201351

他にもよくいわれている点として、災害や事故などで停電や回線が使えなくなった場合など以外にも、過去にはマルウェアで電子マネー決済が停止したこともあります。そのためサイバー攻撃にもある程度弱いと考えておいた方がいいと思います。

マクドナルド店舗の端末がマルウェア感染、電子マネー決済に障害 4日経っても復旧できず - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1706/20/news094.html

こういったことから、キャッシュレスでも支払い方法はクレジットカードと電子マネーなど複数の方式を持っていないとトラブルの時に弱いという問題点がありますし、そうなると低所得者や未成年などにどうするのかといった課題も出てきますね。

また、中小零細企業の経営者の視点から考えると、端末と手数料などを割り引くという方針でもいいですが、それ以外の視点としてサービスごとに違ういつ振り込まれるかとの時間の観点も重要です。また、現金に比べるとこれだとメリットが少ないと考えられるために現金だと自分でつけている帳簿が自動的に仕分けされるなどの多少の手数料でメリットがあると思わせる広報をしないと普及しないんじゃないかと個人的には思っています。

2018年12月 3日 (月)

Uberの不正ログイン

米ウーバーが大阪でも来年からタクシー配車、万博・IRを好機に | ロイター
https://jp.reuters.com/article/uber-osaka-idJPKBN1O20R8

見かけたのは一人だけで他に被害が出ていないようなので記事にせずに情報収集を継続ということにしていましたが、日本でもタクシー配車サービスを開始するということで登録ユーザーも増えると思われるので注意喚起としてどういった被害があったのかを紹介をしておきます。

こちらの被害はアカウントに不正ログインされて不正利用されたと思われます。具体的にどういった手口でアカウントの情報を入手して利用したのかはわかりませんが、こういった被害は十分に考えられるので悪用されないように対策は必要になります。

Uber

ログイン画面はこのようになり、UberのアカウントなのかFacebookやGoogleのアカウントでの利用かもわからず、そちらのアカウントに不正ログインされてから連携しているサイトを調べて利用された可能性もあり、どういった方法で不正利用したかは現時点では不明で悪用できるアカウントはすべて金銭被害にあう可能性があると考えて対策が必要です。

また、今回はチップでの被害ですが、以前聞いた話(確実に正しいとはいえませんが)では、行き先を変えた場合は料金を運転手と利用者の交渉で決めることになると聞いたことがあります。その場合はチップ以外の運賃での高額請求ということも考えられるのでもっと大きな額での被害を請求されるかもしれないと知っておいた方がいいですね。

こちらのブログではUberにメールアドレスとパスワードで登録し使い回していて何度もログインされそうになったという人もいますね。

Uberのアカウントが乗っ取られた!? 対処方法は? サポートの対応は?
https://kengyo-syufu.com/2018/09/uber-account-cracked/

2018年11月19日 (月)

クレジットマスターでの被害?

夏以降クレジットカードの不正使用の被害が多いと感じていたので情報収集を密にしていましたが、スキミングやネットでの情報流出やフィッシングとも考えにくい被害が出てきます。

可能性として考えているのがプログラムでカード番号等を割り出すクレジットマスターという方法での被害と思われるものや、カード会社でそう説明されたというのを見かけます。

カードを盗まれたり利用していなくとも被害にあう攻撃なので、利用明細を調べるようにしてカード会社からの通知や連絡を拒否しないようにしておいてすぐに気づける状態にしておいた方がいいかもしれませんね。

2018年11月14日 (水)

Appleへの不正ログインの増加

Apple IDがロックされる現象が多数あり不正ログインの失敗による影響ではないかという記事が出ていますが、ここ最近はAppleへの攻撃は増えていると思われます。不確かな感覚による推測ですが、通常の数倍程度(最大で5倍ぐらい?)は攻撃があるのかなという風に感じていますが、その他のサイトへの攻撃が多くてあまり目立っていないという現状です。

表示されている攻撃元はほとんどが中国ですね。

主な被害はiTunesでのゲームへの課金。Ark of War:Galaxy Pirate FleetやLords Mobile: War Kingdomにアーミーメン・ストライクというのは見かけています。

ロックされた原因がこれらかどうかまではわかりませんが、攻撃が増えているのはツイートの増加などから感じてはいます。

2018年11月13日 (火)

Tポイントの不正はワンタイムパスワードでは防げないらしい

 

 

他サイトとの連携をしていく上でセキュリティ上の設計に不備があったという事でしょうか。設計するときに全体を見渡して穴がないかをチェックし続けないと他のサイトでもこういったトラブルは今後も続く可能性がありますね。

追記

ツイートのアカウントの方から追加の情報のコメントをいただきましたのでそちらも参照してみてください。

11/15 追記

Tカード番号でのログインはできないようになったようです。

 

追記

ワンタイムパスワードを利用していたのに被害にあったという人が他にもいました。どこかでメールアドレスとTカード番号の組み合わせが流通しているんでしょうか…

11/17 追記

11月4日にシークレットIDでも被害に遭ったとのツイートもあったので少なくとも11月初旬から同様の被害はあったと思われます。

 

12/4 追記

被害に遭った人のポイントが戻ったみたいです。Yahoo側の対応に不満があるようですね。

Yahooで秘密の質問で不正ログイン?

昨日Yahooにて不正ログイン発生! | ポイントサイトニュース ~ラクしてお小遣い稼ぎ~
http://koganemochi.jp/?p=54725

情報不足でよくわからない部分が多いのですが、Yahooから「パスワード設定完了のお知らせ」というメールが届いたので調べてみると、シークレットIDが解除されていたとのことです。

さらに別のYahooのアカウントでも「携帯電話番号ログイン設定」を解除されていたとのこと。

自分の過去のメールをチェックしてみるとパスワードの変更時に「パスワード再設定完了のお知らせ」のタイトルで今回とは違うので、どういった事が起こっているのか完全には把握できていません。ただ、秘密の質問の答えを知っている人物がそこから不正ログインをして設定を変更した可能性が高いのではないかと考えています。

他の被害者がいる様子も無く、一人で2つのアカウントを攻撃されていることから知り合いなどの個人情報を知っている人物からの攻撃で、ワンタイムパスワードを設定しておかないと防げないのかもしれないですね。

11/14 追記

忘れていましたが、過去の事例から秘密の質問を変更しないと解決になりません。有料会員なら秘密の質問の変更ができますが、無料会員だと変更ができないためにアカウントを諦めて別に新たに作ったり他のサイトのサービスを利用するという対策になりますね。

追記

こちらもTカードでの認証で入られた可能性がありますね。Tカードを持っていなかったため気づかなかったですが、Tカードの番号で秘密の質問代わりに解除できたようです。ただ2つのアカウントで被害が出てるので両方ともTカードだとおかしい気もしますね。

ドコモのiPhone不正購入逮捕の裏で

docomo Online Shopへの不正ログインとiPhoneの不正購入についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20180813/1534182978

こちらのドコモへの不正ログインとiPhoneを購入されていたという事件のコンビニへの受け取りに行ったという人物が逮捕されたとの報道がありました。逮捕されたのは振り込め詐欺でいうところの出し子にあたるので全容解明まではまだまだかかりそうですが。

不正購入のiPhoneX受け取った疑い 男4人を逮捕:朝日新聞デジタル
https://www.asahi.com/articles/ASLCD2TNDLCDUTIL002.html

iPhoneX不正購入、機種変で知った 疑問抱く男性:朝日新聞デジタル
https://www.asahi.com/articles/ASLCD4CJQLCDUTIL003.html

通販でスマホ不正購入か 受け取り役の中国人4人逮捕 | NHKニュース
https://www3.nhk.or.jp/news/html/20181112/k10011707871000.html

中国人ら不正アクセスでiPhone窃盗か|日テレNEWS24
http://www.news24.jp/articles/2018/11/12/07409031.html

iPhone勝手に機種変更 他人のID使い…1000件被害か
https://news.tv-asahi.co.jp/news_society/articles/000140621.html

iPhoneX12台を不正入手、中国籍の男4人を逮捕 警視庁 - 産経ニュース
https://www.sankei.com/affairs/news/181112/afr1811120026-n1.html

iPhoneX不正購入事件、窃盗容疑で4人逮捕 TBS NEWS
https://news.tbs.co.jp/newseye/tbs_newseye3522671.html

不正アクセスでスマホ取得か=窃盗容疑で中国籍4人逮捕-警視庁:時事ドットコム
https://www.jiji.com/jc/article?k=2018111200965&g=soc

機種変更装いiPhoneX不正購入か 中国人の男4人逮捕  :日本経済新聞
https://www.nikkei.com/article/DGXMZO3764513012112018CC1000/

iPhone Xを不正入手で逮捕 被害総額2,400万円 - FNN.jpプライムオンライン
https://www.fnn.jp/posts/00405350CXL

不正アクセスはリスト型攻撃か iPhone不正購入:朝日新聞デジタル
https://www.asahi.com/articles/DA3S13765658.html

実は、これらの報道の前からこの事件でなにか動きがあるんじゃないかという気配がありまして。

Docomo

11月2日にテレ朝が11月9日にTBSが被害に遭ったアカウントへ今頃取材をしたいとのリプライを送っていたのでなにか動きがあるんじゃないかと思っていたんですよ。

警察が張っているとは思いますが、自分が犯人の立場ならこういった動きに気づくと危ないと思って隠れようと思うかもしれないので、こういう取材方法はいいのかな?と疑問に思うところはあります。

11/23 追記

別の逮捕者の記事が出ました。

他人のポイントで電子タバコ購入 男を逮捕、湯沢署|秋田魁新報電子版
https://www.sakigake.jp/news/article/20181122AK0003/

2018年11月 9日 (金)

エディオンにリスト型攻撃?

 

 

今日になって複数のツイートを見かけたのでサイトを見に行くと今日付でこのようなお知らせが出ています。

お知らせ(詳細) 家電と暮らしのエディオン -公式通販サイト-
パスワード設定についてのご案内 2018年11月9日
https://www.edion.com/info_detail.html?info_no=0000000063&_rt=frPHt9D6oP1qb8QrmPaHzco0pvQ24yOtbDANjkwvZKo

リスト型攻撃を検知してお知らせを出したと考えられます。

興味深いのが2017年に出したお知らせとほとんど同じ文面ですが、パスワードの定期的変更の1行を削除したようですね。

2018年11月 3日 (土)

Tポイントの不正使用で店員側の証言

ツイートのアカウントの方より削除して欲しいとのコメントをいただいたので該当ツイート部分を削除しました。

代わりに概要を書いておきます。

二人組の中国人らしき男性二人組が一人2回ずつ入店してはモバイルTカードでポイント支払いでIQOSを購入。レシートを確認するとすべてカード番号が違ったという内容でした。

概要ここまで。

ファミリーマートでIQOSを購入される被害が多いことからファミリーマートの店員と思われますが、Yahooへのログインが主に中国もしくは台湾というのと転売目的で高額な商品ということから中国系の人物の犯行の可能性が高そうですね。中国でIQOSの人気があるとの話もあるので中国内で転売してるのではないかと考えています。

2014年のLINE乗っ取りがあった頃もコンビニでプリペイドカードを買い占めていく外国人の話があったぐらいです。QQなどを利用してコードを送信することでiTunesカードの転売をして現金化していたと考えられます。

ドラッグストアのウエルシアではスマホのみでなくカードの提示も求められたとのツイートもありましたが、現在もファミリーマートでは現在も被害が出ているようでカードの提示は求められていないようです。

11月15日から新しい対策を実施するようなのでそれ以降は収束していくと思われますが、それまではしばらく被害が出続けると思われますね。

【重要】11/15 モバイルTカード利用時の認証項目の追加について
http://tsite.jp/cp/index.pl?xpg=PCIC0102&cp_id=17785

【重要】第三者のなりすましによるTポイントの不正利用について
http://tsite.jp/cp/index.pl?xpg=PCIC0102&cp_id=17543&CP_SYUBETU=1

2018年10月31日 (水)

おさいふPontaにリスト型攻撃

 

 

 

 

今日の午後からこのようなツイートが急に増えだしたのでサイトに見に行くとお知らせが出ていました。

お知らせ|おさいふPonta
おさいふPontaサイトでのチャージ残高・ポイント移行サービスの停止について
http://www.osaifuponta.lawson.co.jp/news/Detail?news_id=92

昨今、悪意ある第三者によって他のサイトから不正取得したメールアドレスとパスワードを流用し、別の複数サイトでログインを試みるという、不正アクセス事例が多発しております。おさいふPontaサイトにおいても、同様の手法にて断続的に不正ログインが試みられております。

今後も引き続きこのような不正アクセスが発生する可能性があることから、大変恐縮ではございますが、10月30日(火)17時をもって、おさいふPontaサイトでのチャージ残高・ポイント移行サービスを停止させていただきました。
お客様には大変お手数をおかけしますが、サイトのセキュリティ強化が完了するまでお待ちいただきますよう、よろしくお願い致します。
サービス再開につきましては、時期が決まり次第改めて当該サイトにて告知いたします。

苦情なのかサーバーで異常を検知したのかわかりませんが、いち早く気づいて悪用されているサービスを停止したようです。

今回は夏から続いているポイントを狙った一連の攻撃の一つではないかと考えていますが、まだ他のサイトも狙われる恐れがありそうですね。

11/1 追記

詳しい記事が出ました。

【セキュリティ ニュース】「おさいふPonta」にパスワードリスト攻撃、1時間に約30万件 - 一部で残高の不正移行(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/099567

«じゃらんnetでリスト型攻撃?