« Yahooで秘密の質問で不正ログイン? | トップページ | Appleへの不正ログインの増加 »

2018年11月13日 (火)

Tポイントの不正はワンタイムパスワードでは防げないらしい

 

 

他サイトとの連携をしていく上でセキュリティ上の設計に不備があったという事でしょうか。設計するときに全体を見渡して穴がないかをチェックし続けないと他のサイトでもこういったトラブルは今後も続く可能性がありますね。

追記

ツイートのアカウントの方から追加の情報のコメントをいただきましたのでそちらも参照してみてください。

11/15 追記

Tカード番号でのログインはできないようになったようです。

 

追記

ワンタイムパスワードを利用していたのに被害にあったという人が他にもいました。どこかでメールアドレスとTカード番号の組み合わせが流通しているんでしょうか…

11/17 追記

11月4日にシークレットIDでも被害に遭ったとのツイートもあったので少なくとも11月初旬から同様の被害はあったと思われます。

 

12/4 追記

被害に遭った人のポイントが戻ったみたいです。Yahoo側の対応に不満があるようですね。

« Yahooで秘密の質問で不正ログイン? | トップページ | Appleへの不正ログインの増加 »

情報セキュリティ」カテゴリの記事

コメント

どうも、ツイート引用された者です。
結構反響ありそうなので分かってきたことを以下に記します。

(1)経緯
概ね引用ツイートの通りです。既にワンタイムパスワードに設定してあったにも関わらず、突然ログイン再設定完了のお知らせというメールが届き、連絡用アドレスに見知らぬGmailが追加されていました。ヤフーショッピングでの不審な購入履歴やヤフオクでの入札・落札等はなかったのですが、神奈川県内のファミリーマートでTポイントが全て使われてしまっていました。
ちなみに、ログイン再設定完了のお知らせメールには、受信したアドレス(=自分が管理しているアドレス)のオプトアウトURLは貼ってあるにも関わらず、追加されたアドレスを締め出す方法は記載されていませんでした。
そもそも、今回のケースでは正確にはいきなりログイン再設定通知だけ来ていて、連絡用アドレスが追加されたという通知自体来ていませんが…

(2)問い合わせに対するYahooからの回答
メール文章を引用すると、
・第三者が不正にお客様のTカード番号を入手し、Tカード番号を入力して
Yahoo! JAPAN IDの本人確認を行い、連絡用メールアドレスの設定と
メール認証を設定した
のようです。

(3)その後私のほうで色々試したこと
・シークレットIDの設定
メールの傍受やログインはできなくなりましたが、上記のTカード番号を使った本人確認は元のIDでも通りそうです
・IDの変更
アドレスの変更やシークレットIDの設定はできますが、既に漏れているであろう元のIDは変更不可みたいです。コレ変更しようと思ったら別のアカウントを取得し直すしかなさそうです。

以上を総括すると、一度YahooIDが漏れてしまったら今までのIDを捨てて新たにIDを取り直す以外それを無効化する術がないこと、Tカード番号はクレカの番号と同じレベルで厳重に管理せねばならないことを痛感しました。

私のような被害を被る人が出ませんよう、これを読んだ皆様においてはくれぐれもご注意ください。長文失礼しました。

追加情報のコメントありがとうございます。今回は大変でしたね。

シークレットIDでも防げないことは調べていてわかったんですが自分自身がTポイントカードを持っていないために確認作業ができなかったために複数の情報源を探していました。

対策の一つにTカードとYahoo! JAPAN IDの連携を解除が有効なのかどうかの検討をしていて、解除すれば悪用の危険性はないのではないかと考えているんですが、検証できずに止まっている段階です。よければアカウントを取り直す前に試してみてもいいかもしれませんよ。

【重要】第三者のなりすましによるTポイントの不正利用について
http://tsite.jp/cp/index.pl?xpg=PCIC0102&cp_id=17543&CP_SYUBETU=1

どうやってYahooのIDとTカードの番号を紐付けて知ることができたのかが判明しないので、広く悪用されているのかたまたま運悪く今回悪用されてしまったのかがわからないんですが、何か心当たりとかないでしょうか?

こんばんは。
実は早々にTカードを無効化してしまったので試していないのですが、色々調べていると連携解除も面倒な手続きを踏まないといけないみたいですね。。。
とは言いつつ、追記でご紹介されていたようにTカード番号でのログインができなくなったようなので、不安要素が一つは解消したのかなと思います。
あとは漏れてしまったIDと決別して、あわよくば失ったTポイントが返ってきてくれれば…(笑)

Tカードをすでに無効にしてしまっていたんですね。
今回のはTカード番号を利用していましたが、根本的な原因はYahooのパスワードを忘れた場合の解除方法でシークレットIDもワンタイムパスワードも回避できてしまうという状況からTポイントカードで解除できてしまったというのが原因です。
つまりTカード番号以外の他の解除方法も知られてしまうと解除される恐れがあるので例えば秘密の質問なども第三者にわかりにくいものにしておかないと同じようなことが起きるかもしれません。
ですから、新しいアカウントを作る際はそのあたりにも気をつけてくださいね。
失ったポイントは不正利用が確認されると時間がかかっても復旧するはずですから大丈夫ですよ。

自分も11月14日不正利用されました。
約38000ポイント
東京にあるファミマの2店舗にて使用されてました。

防犯カメラに映像は残ってたので店舗に電話して店員に
特徴を聞いたのですが犯人像はアジア系の外国人だったみたいです。

ってかモバイルTカードで使われる時点と外国な時点で
高額使用だとあやしまないと。

そこまでポイントを貯めるのって長期滞在で無い
外国人だとかなり大変だと思うんですが(^^;


話がそれましたが、ログイン方法も当方と同様の手口のようですね。

折角シークレットIDとSMS認証にしてても
パスワードを忘れた場合でログイン出来る事態おかしいので
その抜け道を先月10月に不正ログインされかけた時に
指摘してたにもかかわらず対応を怠ったyahoo側の怠慢ですよね。

パスワードってSMS認証(携帯に番号通知)なら忘れること無いでしょ?
って思ったんですがw

更にシークレットIDを設定していても
通常IDを入力するとその通知が来るのと
その後通常IDでもログインできない場合の別方法で
ログイン出来るのも変ですよね。

通常IDを数回入力と認証番号を数回間違えると
シークレットIDを設定していてもログイン状態が解除になり
ログイン出来なくなると言う。

yahoo側のセキュリティーは抜け道だらけで困ったもんです(^^;

ポイント補填がどうなるのか・・・。

コメントありがとうございます。被害にあわれて大変でしたね。
抜け道の問題は数年前から指摘されていたんですが修正されていないようです。ユーザーが多くてパスワードを忘れたり電話番号を変更せずに入られないといった苦情も多いんでしょうけどセキュリティが犠牲になって被害が出ているようでは意味が無いですからね。
他のポイント被害ではローソンのPontaではスマホだけでなくカードも提示するようにしたり、楽天Payではローソンの支払いは4000円までに制限したりして被害の拡大を防いでるんですが、Tポイントのファミリーマートでの被害ではそういった対策もないようで被害が防げない一因になっています。
先月被害にあった人たちは最近ポイントが戻ってきたとのツイートを見かけますので3週間ほどをめどに気長に待っていれば戻ってくるとは思いますよ。

本日ポイント戻ってきました(^^)

結構手続きとかで手間が掛かって大変でしたが。

Tアプリの方のレビューでは11月15日から
カード番号入力がとか言われてますが・・・。

ポイント不正利用された立場から言わせると、ポイント使う時は
Tアプリのみしかない人はアプリ提示のみでいいですが
Tカードを持っててアプリ登録した人は、アプリ連動でも
カード提示にして欲しいですよね。

ポイントが戻ってきてよかったですね。
11月15日にはカードの番号がわからなくてモバイルすら使えないといった人も結構いたようで、コレをすればいいといった対策がなかなか無いというのが実際のところですかね…
連携しないのが一番よかったのかもしれないですが。

モバイルTカードが使えなくなった!! - Togetter
https://togetter.com/li/1291012

Tカード番号が分からないって人も居るんですね。
モバイル系のみで登録してたら分かりませんが
普通Tカードって持参してるもんじゃないのかな?
とは思うのですが、違うのでしょうか?

アプリにするメリットはカードを出すのが面倒で
してると普通は思うのですが(^^;

もしかして対策を緩める為に低評価をする
サクラじゃないといいんですが。

本当はyahooと連携しないのが一番いいですが・・・
yahooショッピングでの期間限定ポイント等が
かなりでかいので仕方なく連携登録してしまいますね。(^^;

そのyahooポイントのメリットが無ければ
連携は解除してるのですが。

アプリにすることでカードを持たずにすむので、なかにはカードを紛失したり処分した人もいるようで、そういった人が今回の変更で困っていたようです。
Yahooと連携することでポイントがたまるのはいいんですが、数万円などの結構な金額での被害が多かったのも今回の特徴でしたね…
一番の問題点のTカード番号がパスワード代わりでワンタイムパスワードなども回避されていたという問題が塞がれたのと、15日からの新しい対策で現在のところ新たな被害は出ていないようなのでひとまず大丈夫みたいですが、最初の設計の時に問題点を見逃してしまいなかなか対策を実施できずに被害の拡大を防げなかったのがダメでしたね。
ローソンアプリでは1月31日にバーコードでの利用を停止する決断をしましたし、被害の発生時にパスワードの強制リセットと2段階認証を登録しないと利用できないようにして被害の拡大を抑えたりといった対策は早かったですから比較してしまいます。

昨日Tポイント不正利用してた中国人が逮捕されたみたいですね。

https://headlines.yahoo.co.jp/hl?a=20190316-00000013-kobenext-l28

10日程前に警察から操作進行状況の連絡が来て
あまり進展してないので今後進展する可能性は低いと言う
連絡が来てたのでこの結果は意外だったかも。

逮捕されたのは実行犯のまとめ役のようですね。
一番の謎のTカード番号とメールアドレスの組み合わせがどうやって知られたのかまでたどり着ければいいんですが難しいでしょうね。
他の事件でも実行犯は逮捕されることがあっても被害がなくならず、割のいいバイトということで募集してると思われるのでここをいくら捕まえても同じような犯罪はずっと続くので抑止効果はあまりなかったりするんですよね。

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« Yahooで秘密の質問で不正ログイン? | トップページ | Appleへの不正ログインの増加 »