« 嵐のファンクラブへ不正ログイン攻撃? | トップページ | ワンクリックウェア作成グループの逮捕の解説 »

2019年3月20日 (水)

東方神起をはじめとするSMエンターテインメントの韓国公式FCの有料会員登録でクレジットカード情報流出?

3/23 加筆修正

ファンの人にはわかりにくい、間違いあると指摘を受けたので最初に簡易の箇条書きを追加しておきます。

  • クレジットカードの被害があったのは東方神起とスーパージュニアの募集時期のみ。ただし改善されていないと思われるのでそれ以降も気をつけないといけない。
  • 状況からyes24でのブラウザでの登録で保護されていない可能性が高いのでブラウザでメッセージが出ている場合は盗聴される危険性がある。
  • OSは関係なくiPhone,Androidともに保護されていないのでフリーWi-Fiや安全ではないVPNを利用すると盗聴の危険性がある。
  • クレジットカード情報だけでなく保護されずに入力している情報すべてが盗聴される危険性がある。ID・パスワードを使い回していた場合はその他のサイトでも危険。

追加分はここまで、ここからは最初に書いた文章になります。

一番最初に話題になった東方神起を例にしますが、他のファンクラブも加入方法は同じです。

韓国でのオフィシャルファンクラブ発足に関してのお知らせ – SMTOWN OFFICIAL JAPAN[SMTJ]
https://smtown-official.jp/news/n20190121/

前提条件として日本と韓国ではファンクラブが別々でながらく海外から入会が認められていなかったようで、特典のある有料会員登録を開始したということのようで、韓国の有料ファンクラブに加入することで韓国でのチケットやグッズなどが購入できるようになるといった特典があります。その韓国のファンクラブが1月末ごろから日本からも入会できる方法が話題になり有料会員に加入した人にクレジットカードの不正利用が相次いだというのが今回の騒動です。

加入方法はlynsというアプリをダウンロードし、アプリ内で会員登録。そこでSMS認証がありその後yes24というサイトでクレジットカード(3Dセキュア)での決済という流れになるようです。

ところが、lynsというアプリは日本からダウンロードできず(後に聞いた話では中国やタイでも不可)SMS認証も日本の電話では海外からのSMSをブロックする設定の場合もあり届かなかったり、海外サイトでの決済でクレジットカードが止められて使えないといったトラブルが多発していたようです。そこで回避する方法を書いたブログを参照しての加入者が増えたようですが、そこからクレジットカードの不正利用が出始めたという状況でした。ただ不正利用は2月の上旬ぐらいまででSNS上では10人程度でGoogleの知らないアカウントからで数千円程度が多く、それ以降は確認されていません。

こういった情報からフォームの改ざんを疑ったんですが、被害が1月下旬から2月上旬のみで一般的なフォームの改ざんの時はもっと長期間ですので被害の出方が違います。

また、被害に偏りがあるのも気になりました。OSはAndroid中心でカード会社はJCBが中心。さらにモバイル向けとPC向けでサイトの違いが。

https://ticket.yes24.com/
https://m.ticket.yes24.com/

mがついているモバイル向けと思われるサイトではhttpsでの接続ができません。これらの情報から考えたのは保護されない送信が行われていてそれを盗聴されているのでは無いかという疑惑です。

どうやって日本から登録するよう回避していたかというのを紹介されているブログなどをみてみると

iOS

新たなAppleアカウントを作成して国を韓国にする。
lysnアプリのダウンロードしてそれ以降の登録などは止められるなどのトラブルが無い限り通常通り。

Android

VPNアプリでネットに接続して新しく作成したアカウントで韓国にする。
lysnアプリのダウンロードしてそれ以降の登録などは止められるなどのトラブルが無い限り通常通り。

これ以外にも公式以外のサイトからアプリをダウンロードする方法もありますが、今回はそちらでの被害は確認できませんでした。

違いはVPNアプリの差。ということで登録を紹介しているブログなどで特定のVPNアプリを紹介しているので、そのVPNのサーバーで情報が盗聴されていたのではないか?と疑っています。iOSでも被害があったのはうまく登録できなかった人がAndroidの方法を参考にしてVPNアプリを利用した可能性が考えられますが、被害に遭った人達から聞き取り調査をするにしても肩書きも無くファンでも無いため不審者と思われるでしょうからこれ以上は踏み込めなかったりします。

JCBで被害が目立ったのもブログでJCBのカードが通ったとの書き込みからJCBを使う人が多かったので被害が目立ったんじゃないかと。

2月上旬以降被害が出ていないので対策されたのかと思ったら最近でもこの状態のようです。

 

VPNの管理者か第三者が盗聴できる状態で個人情報を記録して売買していたんじゃないかとも考えられるので今後も登録するときにブラウザが警告画面を出す場合は即座に中止するぐらいじゃないと危ない状態と考えた方がいいですね。

アプリのダウンロード後にVPN接続を切ったとしても保護されていない状態のまま送信だと他にも危険ですし、今回のはカード以外も保護されていない情報は盗聴されていた可能性があります。メールアドレスとパスワードの組み合わせで使い回しをしていた場合は他のサイトへ不正ログインをされたり、使い回しをしていなくてもフィッシングメールのようなものが送られてくる可能性は考えていた方がいいですね。

一時的な対処法としては、ブラウザのurlをhttp://m.ticketをhttps://ticketという風に変更していけるようならこういった方法もありますが、メールで送られてくるurlがhttpsでなかった場合は注意が必要です。

下記ブログの画像ではyes24から送信されてきたメールのurlがhttp://ticket.yes24.com/となっていて個人情報をフォームに入力するとブラウザが安全ではありませんと表示しているのが画像で記録されています。

東方神起の韓国のファンクラブ「Cassiopeia(カシオペア)」に入会する方法。「Lysn」アプリのダウンロードからアカウント設定まで詳しく解説しています! | 『ロミコリ!』韓国でヲタ活とかしませんか?
https://romiromikorea.com/11701.html

今回の検証で難しいのは人によっては警告が出なかったという人もいて他にも条件がありそうなんですがまだ判明していません。

サイトの中に入るのも大変で忙しく時間も無かったので確認作業まではできませんでしたが、SMエンターテインメントが今後も次々とタレントのファンクラブ募集をしていくようなので注意喚起もかねて何が問題と思われるかといった情報を書いておきます。

またよくある間違いですが、yes24で3Dセキュアでの登録なので悪用されないと思っている人が何人かいましたが、こちらで流出した情報を3Dセキュアに対応していないサイトで悪用すると関係ありません。3Dセキュアは採用しているサイトで悪用されにくくする技術です、また収集した情報を今すぐ悪用するとも限らないので心当たりのある人はクレジットカードの明細をしっかりとチェックするようにしておいた方がいいです。

今回の件で気になったのは韓国は大量の個人情報が流出した場合は報告の義務と経営責任を問われるらしいのですが、今回のはそれに当たるかどうか。流出とはちょっと違うような気もしますし大量ともいえないかもしれない。

韓国における大規模情報漏えい事故発生時の経営責任 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
https://scan.netsecurity.ne.jp/article/2014/07/24/34574.html

また、公衆無線LAN(フリーWi-Fi)を利用するときにはVPNを利用した方がいいという記事もよく見かけますが、今回のように逆にサーバー側で収集されると同等かそれ以上に危険ということが知られておらず、かえって危ないのでブラウザで警告が出ているときは送信しないとした方がいいんじゃないかとも思いますね。なにもVPNからの問題でなくアダ被さんでも10年以上前から匿名Proxyの危険性は書いていたんで同様だと思うんですけどね。VPNのサービスをしているサーバーが信用できるかどうか。特に無料のは危険なものが多いと思われます。

無料サービスの危険性について
https://web.archive.org/web/20130923034914/http://www.higaitaisaku.com/muryou.html

« 嵐のファンクラブへ不正ログイン攻撃? | トップページ | ワンクリックウェア作成グループの逮捕の解説 »

情報セキュリティ」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« 嵐のファンクラブへ不正ログイン攻撃? | トップページ | ワンクリックウェア作成グループの逮捕の解説 »