Yahooの不正ログインでTポイントが提携店で不正使用？

コツコツためた、けっこうな額のTポイントをYahoo アカウントへの不正アクセスから、全額使われてしまった。
最近良いことないなーと思って矢先にこれかい、、、しょぼん(´・ω・｀)

— takahiko@drums (@takahiko_drums) 2018年9月15日

 

しかし、ログイン履歴や使用履歴だ調べてて、謎なのは、行ったこともない地域のファミリーマートで使われたということ。カードは手元にあるし、どう使われたんだ？
とりあえず該当店舗に問い合わせたが進展なし。

— takahiko@drums (@takahiko_drums) 2018年9月15日

 

dポイントと同じような被害がTポイントでもおきたと思われます。

こちらはポイント狙いと思われるログインです。

YahooIDに不正アクセスがあったみたい。
ポイントを盗もうとしたんやっか？
ポイントなんてもってません（笑）
ｻﾞﾏｧﾈｪﾅｰwwwｻﾞﾏｧ( ´ﾟ∀ﾟ｀)

皆さんも気をつけてください pic.twitter.com/FXxjX8tJup

— 天婦蘿❦ (@nasalupnet) 2018年9月16日

 

もおやだあああああああYahooに不正アクセスされてたみたいでどこからアクセスされたか見たらなんかアメリカとか書いてるしパスワード再設定してくださいってなってたからしたのに全然ログインできないし色々してようやくできたけどもおおおおおお pic.twitter.com/Kt2L2ZF3j4

— YBK_センチ (@senchannel_cm) 2018年9月16日

 

下記ページによるとYahooの登録情報からTカード番号の確認ができるようです。

Yahoo! JAPAN　IDに登録しているTカード番号がわかりません | Tサイト[Tポイント/Tカード] -よくあるご質問・お問い合わせ
http://qa.tsite.jp/faq/show/18961

ここから不正ログインで情報を調べて不正使用した可能性があります。
追記で訂正を入れています。

とりあえずパスワードの使い回しをせずにワンタイムパスワードやシークレットIDなどで不正ログイン対策をするしかなさそうです。（ワンタイムパスワードやシークレットIDでは防げない攻撃のようです）

今後は他のポイントなども同じような被害が出てくることが予想されますので、パスワードの使い回しをせずに被害にあわないように予防を心がけるようにしてください。

追記

今度はTポイントが狙われたそうです。Yahoo!の不正ログインらしいとのことですが、Yahoo!もT-Siteも登録ページのカード番号は伏字になっています。アプリはワンタイムのカード番号を表示する方式なので、カード番号を盗んでということではなさそうな… https://t.co/rXQleq7zyY

— Naomi Suzuki (@NaomiSuzuki_) 2018年9月16日

 

Yahoo!アカウントにログインできれば、公式や各社のモバイルTカード対応アプリをアクティベートできるので、正攻法で攻めたのかもしれません。新規の攻撃は、パスワード変更＆二段階認証で撃退できますが、認証済みの端末やアプリを追い出す方法が分かりません。強制退去はできないのか🤔

— Naomi Suzuki (@NaomiSuzuki_) 2018年9月16日

 

Tポイント/Tカードを持っていないので確認できなかったんですが、どうやらdポイントと同じ方法では無理そうでアカウント乗っ取りによるアプリの認証といった方法かもしれないようです。

9/20 追記

19日にサイトでお知らせがでました。

【重要】第三者のなりすましによるTポイントの不正利用について
http://tsite.jp/cp/index.pl?xpg=PCIC0102&cp_id=17543&CP_SYUBETU=1

さらに20日にはモエバイルTカードを利用するとメールが送られるようになったり、実物のカードの提示を求められたりするようになったようです。

Tポイントのなりすまし不正使用だって！？！？ pic.twitter.com/EWmQE9y48G

— トマトサンバ (@TOLOEXP) 2018年9月20日

Tポイント不正利用絡みでウエルシアアプリのTポカード提示したら実カードも出せと。
えーと…としばし考えて(Tポカード10枚持ってるのでｗ)出したら番号違う！と突っぱねられてそんなはずは、ってあんたそりゃクレカの番号ですやんｗ一体型の種類が多すぎて店員でも判別できないのか

— CHEMOOL (@chemool) 2018年9月20日