« dポイントが加盟店で不正利用される被害 | トップページ | 災害時の不正ログイン被害の危険性 »

2018年9月 8日 (土)

dポイントが加盟店で不正利用される被害 その2

dポイントが加盟店で不正利用される被害: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/08/d-9088.html

前回の記事の続きです。

情報が少ない中、手口はコレではないかと推測していましたが別の可能性が出てきました。前回の記事で書いた対策として書いていた2段階認証も効果がない可能性があります。

2段階認証を設定していて被害に遭い、アクセスログも公表している人がいました。

dポイントが不正利用された体験記!その手口について考察&効果的な対策とは | ケータイ乞食から陸マイラーへ
https://www.k-taimiler.com/entry/dpointcard-unauthorized-use

dアカウントへのログイン履歴が残されていないとのことでログインしない別の方法ではないかということです。

「dポイントカード」の不正利用について | 負けない投資術 ■ ポイント投資 サヤ取り
https://ameblo.jp/pointtoushi/entry-12403505705.html

こちらのブログでもdポイントカード番号が何らかの方法で知られて悪用されているのではないかという話になっているようです。

Twitterでの観測ではdアカウントへの不正ログインが減っているようなので手法を切り替えてきたという可能性も考えられますが、ユーザー側では被害を防ぐのが難しい攻撃という可能性があります。

これらのブログのような攻撃が行われているとすれば、ドコモ側からも何らかの情報を出し対策をした方がよさそうですね。

追記

dポイントとローソンのPontaの両方で被害があったという人もいたので調べていると、ローソンアプリに登録しているdポイントを切り替えて利用できるためそちら狙いの可能性もありそうです。

ローソンID会員様へのアカウントパスワード変更のお願い|ローソン
https://www.lawson.co.jp/info/20180908_mai.html

俺のdポイントを返せ!dポイント、Pontaの不正使用が横行!実際に数万dポイントを盗まれました。 - イクメン陸マイラーの、家族を旅行に連れてって!!
https://mileagelove.hateblo.jp/entry/dpoint-fuseishiyou

 

 

9/11 追記

こちらのブログによるとdポイントカード番号をドコモのサイトに入力することで返信メッセージから利用中のものかどうかの判断ができるようです。

ドコモのセキュリティ意識の低さが浮き彫りに | 負けない投資術 ■ ポイント投資 サヤ取り
https://ameblo.jp/pointtoushi/entry-12403930854.html

また、最初に記述した2段階認証をしていたのに被害にあった人の使われ方を見ると、123円と162円と2度に分かれています。ここから推測すると、まず少額で利用しレシートに記述されているポイントの残高を確認してから残りを利用するという手口ではないかと考えています。ここからもポイント残高のわからないdポイント番号を使った犯行という線と矛盾点は出てこないんですよね。裏付けるように2016年の記事でローソンでdポイントを利用した記事でレシートにポイント残高が印刷されていました。

dポイントをローソンで使ってみた。あまりにも簡単にポイント利用できる | おさいふプラス
https://jin-plus.com/lawson-dpoint-riyou/

dアカウントを持っていないため自分で試すことができないので現在もこの通りかまでは確認は取れませんでしたが、dポイントカード番号を利用しての被害であった場合はすべてのdアカウントユーザーが被害にあう可能性があるために不正ログイン対策をしているので大丈夫とはいえない可能性があります。たまっているポイントをあらかじめ使っておくなどの対策で被害を最小限になるように対策するなども有効かもしれません。

9/11 追記

下記ブログでポイント利用に使用されたアプリはStocardではないかということで検証までしています。第三者のアプリで認証もなく簡単に利用できてしまうのが被害拡大の原因の一つといえそうですね。

これがdポイント不正利用・盗難被害の手口か?dポイントカード偽造方法の再現で驚きの事実が発覚! | JALマイルとANAマイルがいっぱいあったらいいのに…
https://www.hanayao.xyz/entry/dpoint-crime-truth

9/12 追記

原因が判明したようで発表がありました。

ドコモの「dポイント」で不正利用、3万5000枚のカードで利用停止 - ケータイ Watch
https://k-tai.watch.impress.co.jp/docs/news/1142716.html

 不正利用の声を受けて進めた調査では、ドコモに対するサイバー攻撃は確認されなかった。このため同社の二段階認証には問題はないと判断しているという。

 しかし、とあるdポイント加盟店のWebサイトへ不正利用があったようだ、とNTTドコモ。この不正アクセスで、dポイントカードの番号と残高が第三者に盗み見られ、不正に利用された可能性がある。

 ドコモでは、具体的な不正の手口、また不正アクセスを受けた加盟店の名前は非開示としているが、今後の悪用を防ぐための対策は実施したとのこと。電話窓口も用意し、影響を受けたユーザーへ個別に対応していく。

(中略)

 ローソンIDには、Pontaの番号や、dポイントカードの番号を登録できる。現在は、末尾三桁だけが見える形だが、ローソン広報によれば、サイトへのリスト攻撃が発生していた段階でもdポイントカード番号は末尾3桁だけ表示されており、全ての桁は見えない状態だったとのこと。

とのことでローソン以外の加盟店のサイトが原因のようです。

ローソンのサイトで確認してみましたが、少なくとも現在は画像のような表示になっていますね。

Lowson

どこのサイトでどのような攻撃を受けたまではわかりませんが、これで不正利用がおさまれば問題の解決となりそうです。

9/16 追記

ローソンアプリでの「デジタルdポイントカードサービス」の停止のお知らせ|ローソン
https://www.lawson.co.jp/info/20180914_app.html

このたび、9月13日にローソンIDサイトの不正アクセスにより、ローソンアプリを使ったdポイントの不正利用があったことが判明いたしました。そのため、ローソンアプリ内のdポイントカードの番号が表示されている「デジタルdポイントカードサービス」を一時停止させていただきます。

ローソンのサイトから出なくアプリに表示されるのでそこからの流出だったようです。

4月にAndroidのローソンアプリが新しくなり新旧両方インストールできる状態になっていたんですが、そのときに両方のアプリでログイン状態になっていても通知も何もなかったりと複数端末でログイン状態になっていても検知する機能すらなかったかもしれません。厳しくするとログインできないなどのトラブルも増えるのでそれも問題だったりしますけどね…

« dポイントが加盟店で不正利用される被害 | トップページ | 災害時の不正ログイン被害の危険性 »

情報セキュリティ」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« dポイントが加盟店で不正利用される被害 | トップページ | 災害時の不正ログイン被害の危険性 »