MyJCBに不正アクセス、JCBカードのポイントがTポイントに交換される 32
ストーリー by hylom
リスト型攻撃だと対処は難しそうだ 部門より
リスト型攻撃だと対処は難しそうだ 部門より
headless 曰く、
JCBは27日、JCBカード会員専用のWebサービス「MyJCB」に不審なアクセスが繰り返されたとして、25日23時53分から断続的にサービスを停止したことを発表した(「MyJCB(マイジェーシービー)」への不正アクセスについて、 読売新聞)。
読売新聞の記事によると、他社サービスから流出したIDとパスワードを使用した不正なログイン試行が繰り返されたものとみられ、ログインが実際に成功したのは3桁の前半程度。その一部でJCBカードのポイントをTポイントに交換する不正利用があったとのこと。Tポイントは身分証明なしで登録可能なYahoo! IDと連携しているため、犯罪者がポイント交換の足場として使っていることが多いという。
JCBではMyJCBへのアクセスを24時間体制で監視し、不審なアクセスを検知した場合はサービスを停止するなどの対応を行うとしている。また、不正にログインされた可能性のあるユーザーに対しては個別に確認の連絡をしているとのことだ。
断続的? (スコア:3, 参考になる)
昨日、一昨日と、計5,6回ログイン試行しましたが、1度も使えませんでした。どちらの日も似たような時間帯にアクセスしたからかもしれませんが。
# さっきやったらログインできたので、ようやく来月引き落とし分の明細のダウンロードができました。
ちなみにMyJCBのIDはシステム側から英数字の組み合わせで機械的に割り当てられるはず(少なくとも初期の設定はそう。IDを自分で変更できるかどうかまでは確認してません)なので、他のサービスから流出したIDとパスワードの組み合わせで不正ログインするためには、その本人が意図的に他のサービスで同じIDとパスワードを設定する必要があるはずです。
それよりは、パスワードを固定してIDを変化させる、いわゆるリバースブルートフォースと呼ばれる攻撃と考える方がしっくりきます。MyJCBのIDは、英数字といっても完全なランダムではなく、前半が英字で後半が数字、という規則性があるようなので。
Re: (スコア:0)
ID変更出来ますよ。MyJCBログイン後、お客様情報の変更-MyJCB IDの変更。
Re:断続的? (スコア:1)
MyJCBのサービスは10年以上使ってるはずですが、IDを変えられることを今はじめて知りました(笑) まぁ、今ではKeePass [keepass.info]でパスワード生成&管理しているので、今更他のサービスとIDやパスワードを揃えて、リスクを高めようとは思いませんけど。
どうも自分の使ってるサービスで、ここのところこの手の事例が多発してるので(ANAマイレージ、Suicaポイントに続いて3件目。一応、直接の被害者にはなっていませんが)、「しばらくパスワード変えた覚えがないなぁ」と気づいたサービスから、順次システムが許容する最大文字数のパスワードに変えていってます。
Re: (スコア:0)
私は最近、IDも可能ならランダム文字列にしてます。
Re: (スコア:0)
>>昨日、一昨日と、計5,6回ログイン試行しましたが、1度も使えませんでした。
なぜ、断続的に「?」つけてるの?
Re: (スコア:0)
元コメ書いた人じゃないですけど、私の環境からだと普通の漢字・平仮名・片仮名・句読点・カンマしか見えないので、文字化けしているのでは。
(どっちの人の問題かは知らない)
Re: (スコア:0)
タイトル、文字化けしてる?
最近多いけど (スコア:0)
>他社サービスから流出したIDとパスワードを使用した不正なログイン
これって同じパスワードを使用してなければ基本的に問題ないんですよね?
むしろ流出させた他社サービスとやらの方が気になるんですけど
こういうニュースで名前が出てこないのは何でなんだろう
まさか嘘ってことじゃないですよね?
Re:最近多いけど (スコア:1)
ブルートフォースの類ではなく、IDとパスワードのピンポイントの組み合わせによる不正ログインがあったとして。
アタックされた側はどうやったら漏洩元を知ることができると思いますか?
私は無理だと思いますけど。
Re:最近多いけど (スコア:1)
複数の被害にあった人間が登録してる情報突き合わせれば、ある程度は絞り込めるんじゃないかなぁ
警察なりセキュリティ屋なりはそのくらい疾うに調べてるとは思うんだがね
まぁ、他社サービスから流出でない方法で入られて大規模にやらかしたところなんじゃないの?
最近のでパッと思いつくのはYah○o! Japan [yomiuri.co.jp]とか○CN [impress.co.jp]とか
ただ、公表してない組織があるかもしれないし、公表してるところでもその情報がすべて真実とも限らないわけで
#2571172 [srad.jp]が言うように一箇所のお漏らしからとも限らないか
Re:最近多いけど (スコア:2, おもしろおかしい)
このたびの不正アクセスにより被害にあわれた皆様には心よりお見舞い申し上げます。
さて、当方ではこのような不正アクセスを防ぐべく鋭意調査を行っており、
その中で皆様の他社サービスの利用状況、アカウント情報の突合せを行うことなりました。
つきましては、下記6社のサービスについてユーザー名とパスワードのご提供をお願いしております。
yahoo, google, apple, ANA, amazon, 楽天
よろしくお願いいたします。
ご連絡先
Re: (スコア:0)
最近多いって言うのが答えそのもの。
あちこちのサイトで大量ログインを試行して
集まったid,pass組み合わせやpass辞書、メアドなどを学習しさらに別のサイトにログインを試行。
今流行のビッグデータですよ。
Re: (スコア:0)
自社サイトから流出した情報にもとづいていたら
「ログイン試行が繰り返され、そのうち何百かが成功」
なんて雑な攻撃はしないでしょう。
おかしな形に切り取れば、どんな話も嘘くさくできます。
Re: (スコア:0)
ネタでもそういいうのやめろ
Re: (スコア:0)
ネタでもいかんのか?そんなに有害か?
パスの定期変更が有効な場面や攻撃も普通にあるんだが。
Re: (スコア:0)
いや大事なこと抜かしてるからだろ。
単にパスワード変更しても意味ない。
パスワード長を長くしなきゃ。
数年に一度はパスワード長の見直しを。
#あとサイトの使用自体の見直しを。
Re: (スコア:0)
> パスワード長を長くしなきゃ。
どこかのサイトが侵入されてパスワードが盗まれるってケースが
最大の問題なので、パスワード長くしても対策になりません。
Re: (スコア:0)
いや、パスワードがハッシュ化されてれば、辞書攻撃や総当たりで短い物が沢山集まると思うので、長ければ使われる危険が低下すると思います。時間稼ぎにもなる。
ま、平文や暗号化も単一キーでとかならどうしようもないですが、それはユーザー側ではサービスを使わないという対策しか取れないですが、そういう情報は公開されてないのでどうしようもない。
#だから確率の問題と割り切って「サイトの使用自体の見直し」で絞ってリスク低減するしかない
Re: (スコア:0)
> パスワードがハッシュ化されてれば
たとえパスワードがハッシュ化されていても、アプリケーションに脆弱性があると、
ユーザーがパスワードを入力したタイミングで盗まれる可能性があるので、
必ずしも安全とは言えません。
もちろん、パスワードが長いほうが良いことは当たり前ですが、「パスワードが盗まれている」
という前提の上で、対策として勧めるのには違和感があります。
> だから確率の問題と割り切って「サイトの使用自体の見直し」で絞ってリスク低減するしかない
これはおかしい、
全サイトで別のパスワードを使うだけで、パスワードが盗まれる問題には対処できるわけです。
別にごく簡単な対策があるのにも関わらず、「サイトの使用自体の見直しで絞ってリスク低減する
『しかない』」というのは単純に誤りです。
Re: (スコア:0)
各サイト別パスワードは前提だと思ってました。
その上である低の長さのランダムパスワードにするのは、もしハッシュ化たパスワードリストが流出しても悪用はされないだろうってことでしょ。
ただ、平分だったり、あとはフィッシングとかキーロガーとかだと防げない。盗まれたサイトは悪用されるかもしれない。
これが問題でないわけはない。
特にサイトからの流出はユーザ側での対処は難しい。
Re: (スコア:0)
こういうケースについては非現実的でしょ。
Webサービスなんて、30とか100とか入ってるわけで
(自分のパスワードマネージャで確認したら、250サイト以上あったw)、
定期的に全部変えてまわるなんて不可能。
こういう対策を推奨すべきだと本気で誤解する奴(ネットほとんど
使わない奴なら誤解もありうる)が出るから、むしろ有害。
Re: (スコア:0)
それ、整理がついてます?
Webサービスって言ったって、オンラインバンキングからここみたいに、アカウントあるとちょっと便利に使えます程度までいろいろあるんだけど、それ全部一律フラットに管理ってのはどうかと思いますよ。
ランク付けして定期的に見直して、不要でないか、脆弱でないか、ちょろっとでも確認するほうが身のためだと思います。
#パスワードに限る話でも変更する話でもないですが
#どうでもいい、乗っ取られても害のないのが250ならまあどうでもいい話だけど。
Re: (スコア:0)
> ランク付けして定期的に見直して、不要でないか、脆弱でないか、
> ちょろっとでも確認するほうが身のためだと思います。
そんなことにコストかけるぐらいなら、パスワードマネージャ導入して、
全部のサイトで別々のパスワード使うほうが、ずっとコストが低いし、
安全で現実的だっていう話をしているですよ。
あなたは、いくつのサイトに登録しているか把握してますか?
把握するためには記録をつけておく必要があるわけで、
結局、全サイトで別々のパスワードをつけるのと同じか、
むしろより大きなコストをかける必要があるわけです。
パスワードマネージャの導入はたいしたコストじゃないですが、
すべてのサイトについて、記録をつけて、パスワード変更時期を管理して、
定期的にパスワードを変更して、適宜脆弱かどうか確認するとか、
ありえないと思いますよ。
Re: (スコア:0)
パスワードマネージャーなら登録サイト一覧見れるわけだし、年一くらいちょろっと見て、あのサイト結局使わなかったとか、暫くここ使ってないなとか、そいうのはありえません?
別に全てのサイトについてやれって話じゃないですよ?そのためのランク付けなんですから。
すべて一律にするから無理が出るんであって、別にスラドのパスワードなんてどうでもいいんですよ。普段使いのサイトもまあ状況分かってますよね。
どうでも良いとまでは言わないし、あんまり使わないとかそういうサイトって意識しないと気にかけないじゃないですか。
年一くらい気にかけても良いと思うけどな。
#てか、それすら出来ないってくらい多いとか、それら本当に必要なサイト?って思っちゃう
Re: (スコア:0)
つ「パスワードの定期的変更」は基本的には無意味 [srad.jp]
面倒だからっておぼえやすいパスワードにしちゃう人が一定数出ることを考えると,定期変更の強制に害はあると思う.
Re: (スコア:0)
>>面倒だからっておぼえやすいパスワードにしちゃう人
そういう人は最初からおぼえやすいパスワードとやらにしてるんじゃね?
統計的に分析せずにそういうこと言っちゃうのはいかんと思うす。
ポイントロンダリング (スコア:0)
iTunesギフトコードもそうだったけど、Tポイントなどのロンダリングが容易なサービスは規制を強化するとか、それらへのポイント交換を中止した方がいいのでは。
Tポイントの利用効果ってなにさ (スコア:0)
使い始め規約読んでないんだが、Tポイントの使い方がよう分からんす。
そういう人が多くないだろうか? ポイントの使用率が低いから、
Tポイントうますぎ的な企業が多いのかも。
でもでも、やりすぎるとポイント税とか課金されたりして...
というか、むしろ「あの」税金なくして、変動性ポイント税とかにしてほしいかも。
Re: (スコア:0)
お前が何を問題にしてるのかがビタいち分からんす。
Re: (スコア:0)
yahooと連携してるので、ヤフオクで使いまくってますよ。
楽天のポイントよりよほど使い勝手が良い。