ポイント不正利用が相次ぐ 「リスト型攻撃」対策を
買い物や公共料金支払いで蓄積したポイントが、インターネットを介して不正利用される消費者被害が相次いでいる。東京ガスのウェブサイトでポイントが勝手に交換されたほか、ビックカメラやダイコクドラッグでは店舗でのポイント不正利用があった。いずれも「パスワードリスト型攻撃」による被害。便利な買い物の仕組みが悪用されているようだ。(ITジャーナリスト・三上洋)
東京ガスで106件、3万8000円被害
東京ガスは9月22日、ウェブサイトの不正ログインとポイントの流出があったと発表した。ガス料金・利用ポイントなどがわかるウェブサイト「myTOKYOGAS」での被害だ。106件の不正ログインがあり、そのうち24件で、顧客のためたポイント3万8000円相当が不正に使用された。
http://www.tokyo-gas.co.jp/important/20170922-01.html
myTOKYOGASでは、ガス・電気料金を支払うとポイントがたまり、そのポイントを提携する他社が実施しているポイントに交換できる。Ponta、楽天スーパーポイント、Tポイントなどの共通ポイントサービスのほか、WAONポイントやnanacoポイントといった電子マネー系とも交換可能だ。現金のように利用できるポイントサービスといえる。
犯人は他人のアカウントで不正ログインしたうえで、たまっていたポイントを用意していた別のサービスのアカウントへ移行し、盗んだと思われる。東京ガスは発表文に「『リスト型攻撃』とみられる」と記した。
狙われた使い回しパスワード
リスト型攻撃――。「パスワードリスト型攻撃」とも呼ばれている。過去に流出したID・パスワードのリストから、他人のアカウントに不正ログインする手口のことだ。
インターネット社会を生きる私たちは、多くのサイトでパスワードを使う。とても覚えきれないため、同じパスワードを使い回す人が多い。しかし、利用しているサイトの一つで不正アクセスが起きた場合、いくつものサイトで利用できるIDやパスワードが流出する。それらはリスト化されて、ネットの裏市場に出回る。犯人はリストにあるIDとパスワードを他のサイトで試し、同じパスワードを使っていれば、不正ログインできてしまうという流れだ。
つまり、リスト型攻撃に遭うのは、ユーザー側が共通のパスワードを使い回してしまうことが原因であって、サービスを提供する事業者側の問題ではない。被害は数年前から頻発しており、3年前のLINE乗っ取り事件(友人になりすましてコンビニ店でプリペイドカードを買わせるもの)や、航空会社マイレージの不正利用事件などが起きている。
実店舗での不正利用1:ビックカメラ
同じパスワードリスト型攻撃と思われる事件としては、9月に逮捕されたビックカメラでのポイント不正利用事件が挙げられる。中国籍の男たちが、他人のアカウントを乗っ取ってビックカメラのポイントを不正利用、デジタルカメラなど約133万円分を購入していた。
ビックカメラにはポイントカードをスマートフォンで使える公式アプリがある。このアプリは、従来のカード型のポイントを移行でき、バーコードを表示して実店舗で使える。
犯人はパスワードリストを何らかの方法で入手し、まずはログインできるかどうか試している。 昨年10月、ビックカメラのサーバーには約47万回に及ぶ不正ログインの試みがあったことがわかっている。これらの方法でログインできたアカウントをスマホアプリに登録し、たまっていたポイントを悪用した形だ。アプリ利用には生年月日の登録が必要なため、犯人は生年月日のデータも入手していた可能性がある。
スマホアプリのポイントカードは、カードを複数持ち歩かなくていいのでとても便利だ。しかし、便利さの裏には、ID・パスワードを知られると勝手に利用されてしまうという危険性もある。
実店舗での不正利用2:ドラッグストア
ビックカメラの事件と同じグループは9月19日までに、楽天ポイントの不正利用でも逮捕されている。不正利用されたのは大手ドラッグストアチェーン「ダイコクドラッグ」で、龍角散など約4万円分を購入した疑いがある。実店舗で使うルートを、よく研究した犯行に思える。
ダイコクドラッグのポイントカードは、店舗で誰でももらえるものだ。このポイントカードを、パスワードなどを設定してネットで登録すると、連携先であるネット通販大手「楽天」のポイントを利用できる。
犯人は、店頭でポイントカードを入手し、事前に入手したパスワードリストを使って他人の楽天アカウントに不正ログイン。そして、ダイコクドラッグのポイントカードを連携登録する。すると、犯人の手元のポイントカードで他人の楽天ポイントが使えてしまうという流れだ。
実店舗のポイントカードを、提携先のポイント(この場合は楽天ポイント)にひもづけして共通利用できるのは、とても便利な買い物の仕組みだ。しかし、犯人はこれを悪用し、他人のポイントを不正利用していたわけだ。
ポイント交換や提携などを悪用
少し以前まで、他人のポイントを不正利用する事件は、たまったポイントをサイト内で電子マネーやプリペイドカードにするなど、単純なものが多かった。9月に発覚した事件では、複雑化してきたようだ。
ビックカメラやダイコクドラッグの事件のような実店舗での犯行は、スマホをかざして買い物をしたり、カードを入手してしまえば、犯人はそれを持ち帰るだけだ。ネットでの不正利用と比べて、アクセス履歴や送付先の住所などから追跡されにくい側面がある。これが、犯人グループが不正入手したポイントを実店舗で使う方法にシフトしている理由の一つではないだろうか。
最近のポイントサービスは、他社のポイントに交換できたり、共通ポイントとして他の店舗でも利用できたりするものが多い。交換サイトを経由することで、追跡されにくいという理由もあるかもしれない。昔のポイントカードにインターネット連携はなく、実カードを盗まれない限りは不正利用される恐れもなかった。便利なネット連携の発達が、「カードを盗まれていないのに不正利用された」という被害の恐れを生んでいることになる。
パスワードの使い回しをやめるのが肝心
リスト型攻撃によるポイント不正利用を防ぐ対策は以下の通り。特に重要なのは「パスワードの使い回しをやめること」だ。
以前の常識では、表計算ソフトや紙にメモするのは、盗まれたら危険なのでダメだと言われてきた。しかし、メモせずに覚えようとすると、パスワードを使い回したり、単純なものにしたりしがちだ。より危険性が高いのは、パスワードの使い回し。表計算ソフトやメモした紙をきちんと管理した方が、危険性は低いと考えられる。
併せて、ポイントサービスの事業者側の対策として、二段階認証を有効にすること、本人確認をしっかり行うことなどの安全対策を望みたい。
★参考記事
・不正ログインでアイドル被害~PW管理のコツは?:サイバー護身術
・闇市場でID、パスワード流通~使い回しやめよう:サイバー護身術
・長澤まさみさんら被害…iCloud不正ログインの手口と対策:サイバー護身術