NTTドコモが手がけるポイントサービス「dポイント」で、会員が保有するポイントが不正に使われるトラブルが発生していることが発表された(ケータイWatch、日経新聞)。dポイントサービス加盟店のWebサイトが攻撃され、dポイントカードの番号と残高が盗まれて不正に利用された可能性があるとのこと。これを受けてドコモは約3万5000件のdポイントカード番号を対象に利用停止措置を行ったとのこと。dポイントカードはバーコードを利用しているため、簡単に番号を盗み取ることができるとの指摘もある。
約3.5万アカウントを利用停止に (スコア:3, すばらしい洞察)
> ドコモは約3万5000件のdポイントカード番号を対象に利用停止措置を行った
カードの番号であって、ポイントの口座じゃないんじゃないかな?
タイトルにかなり語弊がある気がする。
> dポイントカードはバーコードを利用しているため、簡単に番号を盗み取ることができる
変に擁護はしないし、対策については興味があるけど...
本質的にこのバーコードの問題はすくなくともPontaも同じだろうし、(同様のレジシステムであれば)他ポイントも差はないかな
http://b.hatena.ne.jp/entry/s/www.k-taimiler.com/entry/dpointcard-unau... [hatena.ne.jp]
の記事の件だと仮定すると、本質は悪質店員なので、ポイントカードからクレジットカードまでどれでも悪用される可能性はありうるかなとも。(クレカは古典的2回引きみたいなやつ、ただそうそうはできないだろうけど)
というか、dポイント、使ったその場でSメール(だっけ?)で通知くるサービスがあるので、それは有効にしてないのかな、みんな。
# docomo利用者だけど、迷惑を受けたいわけではないので、今後に注目しているID
M-FalconSky (暑いか寒い)
他のポイントシステムよりリスクが格段に高い (スコア:4, すばらしい洞察)
ヨドバシやビックなどの家電量販店ポイントなんかも、ポイント還元が10%が基本(ポイント使った分についてはポイントが貯まらない)になっているので、ポイント還元率が13%の時とかは貯めて、ポイント還元率が1%しかない特殊な商品や値下げ交渉でポイントが付かないときに使うのが得なので貯めがちになりますが、普通はせいぜい20~30万分ぐらいしか貯めないと思います。
楽天ポイントは様々なサービス使うと還元率がどんどんあがっていき気が付くと100万円ぶんぐらいたまってることがありますが、アプリのバーコード表示はタイムベースかつ使い切りのワンタイムトークン(要通信)になっているので、アプリの方はバーコードだけあっても使えないと思います。ただプラスチックカードの方はワンタイムじゃないので同じように脆弱ですね。
ここらへんまでは同じなのですが、dポイントは、dポイント投資というものがあって、(dポイント投資を楽しんでいる人のブログ [ameblo.jp])、沢山ため込む性質があります。
証券会社の投資と違って原資はポイントだということもあって、遊び感覚でハイリスク・ハイリターンの運用をしがちですから、100万円相当以上のポイントな人も多いんじゃないでしょうか。
投資に使っているdポイントは加盟店では使えないのでその間は安全なはずですが、利益確定or損切で普通のポイントに戻したとき、100万円以上のポイントがバーコードだけで利用可能になるわけで、偽アプリに他人のバーコードを表示させて悪用されるリスクは高いでしょう。
基本ため込まないポイントと違って、dポイントは投資で増やすために貯め込むポイントであって、100万円以上ためている人もおおぜいいるはずです。
それをバーコード1つでいくらでも使えてしまうのは設計思想からして間違っています。
# ポンタも電子書籍サービスが終了するとき、ポイントで返金(返ポイント?)したので、数百万円分のポイントがプラスチックカードのバーコードに紐づけられた人もいるかもしれませんね……。
# 利用時にPINを必須にするなど、セキュリティを強化する必要があると思います。
Re:他のポイントシステムよりリスクが格段に高い (スコア:1)
> 普通はせいぜい20~30万分ぐらいしか貯めない
すごい違和感。
どれだけ裕福な人が集まった世界の人?
Re: (スコア:0)
投資ポイント数と保有ポイント数の相関はそれなりにあると見て……完全に別世界の人たちですな
https://www.nttdocomo.co.jp/info/news_release/2018/06/11_01.html [nttdocomo.co.jp]
Re: (スコア:0)
累計なら数十万ポイント行く人はそれなりにいるのでは?
私は PSP、PSVita、ニンテンドーDS、ニンテンドー3DSと
全部ヨドバシのゴールドポイントで買いました。
「俺、ポイントたまったら液晶テレビ買い替えるんだ……」という
何かのフラグが立ってそうな同僚もいました。
Re: (スコア:0)
「クレジットカードの番号とセキュリティコードを第三者に知られてネットショッピングで不正利用されました」と何が違うんだ?
クレカなんて後ろは銀行口座だからポイントなんぞより金そのものが貯まりに貯まってるが設計思想がーって話になるのか?
# 今回のはクレカと比べて圧倒的にコード生成が楽って違いはあるが
Re: (スコア:0)
「約3万5000件」というところから考えると、たまたま番号を知られてしまった、という話とは違うんじゃないか。
セキュリティコードに該当する番号がないようだから、採番の規則性を知られてしまったか、もしくは何かの
システムに総当たりで問い合わせて、有効な番号を大量に取得された、という可能性があると思う。
クレジットカードなら番号だけ分かってもセキュリティコードが正しくないと使えないし、総当たりも難しい。
Re: (スコア:0)
いやだから生成は楽チンなんですって
DOCOMOのページで適当な番号をいれると「既に使われてます」的なメッセージが出ることがあるから、それで幾らでも抽出できるのよ
貯まってるだの何だのはクレカと同じだから、100万ポイント貯めてます君の指摘は的外れってこと
仮にクレカの仕組みも設計思想がというなら、利便性という思想が考慮されてない視野の狭いだけの意見だね、と
Re: (スコア:0)
なんというかこうドッヂボールをしようとしているのにお互い微妙にずれた方向にボールを投げてるからキャッチボールにすらなってないそんな会話
Re: (スコア:0)
まあ、ドッヂボールをしようとしたら、普通はキャッチボールにはならない
Re: (スコア:0)
そもそもの思想が全く違います。
クレジットカードはカード会社が被害を補償してくれる。
私はネットで数十万円の被害を受けたが、きっちり全額返ってきた。
多分他のカードではこうはいかない。
たとえ盗難されて不正使用されても、遡って補償してくれる。
# 比較するならせめて他のポイントカードにして欲しい。
# クレカを滅多に使わない人は現金やキャッシュカードの方が安全と思っていたりする。
# 盗難やら不正利用には無力なのに。
Re: (スコア:0)
なんでカード会社がそこまでしてくれるかっていうと、不正使用された分は店に損害を全部押し付けてるから。チャージバックというやつだね。
クソ高い加盟店手数料を取られたうえに、いい加減な審査で不正使用されても損失は加盟店に押し付け。
こんな腐った条件でよく契約するよね。日本では永久に電子決済は普及しないわ。
Re: (スコア:0)
チャージバックは万国共通だし、そもそもアメリカの方がチャージバックの審査緩いぞ。
トーチャンがアダルトサイトで金払ったのがクレカの明細でばれて、トーチャン使ったのを否定した(ウソをついた)のでカーチャンがクレカ会社に通報、無事支払いが止められました、って笑い話があって(ほぼ実話)、向こうは消費者側が言い立てればそのまま通っちゃうぐらい緩い。日本は結構厳しいね。
Re: (スコア:0)
>楽天ポイントは様々なサービス使うと還元率がどんどんあがっていき
>気が付くと100万円ぶんぐらいたまって
還元率20%としても 500万円も買い物したの?
Re: (スコア:0)
「楽天 せどり」で検索すると良いよ
サラリーマンのせどらーでも、月500万なんて少ない方
Re: (スコア:0)
楽天証券やFXでいくらでももらえるじゃん、tポイントもYJFXでもらえる
上限あるけど
Re:約3.5万アカウントを利用停止に (スコア:1)
「dポイント番号、他人には知られないように」とあったけど
レジで店員さんにカード手渡したらアウトかな。
Re:約3.5万アカウントを利用停止に (スコア:1)
dポイントの場合、カード以外にモバイルアプリでバーコード表示してレジで読ませて使うことができる。
QRじゃなくバーコードであり、固定の番号のコードだから、超絶容易に複製が可能だろう。
盗む必要もなく、適当にバーコード作って読ませて(その番号の持ち主の)ポイントあれば使う、ってのでも実現できるはず。
ドコモは7000万人以上の契約者がいるから、適当に番号作っても高確率で誰かのに当たると思われる。ポイントがたくさんある人に当たる確率は低そうだが。
Re:約3.5万アカウントを利用停止に (スコア:2)
うん、オフィシャルでのアプリはそうだね
そして、同様に楽天ポイント(楽天のアプリ)、Pontaポイント(ローソンアプリ、dポイントでもよい)、Tポイント(ファミマアプリ)
Google Payでの表示もできるね。
連番については、生成ルールによるからちょっとなんとも言えないけど...
どれもちょっと不安だね。
M-FalconSky (暑いか寒い)
Re:約3.5万アカウントを利用停止に (スコア:1)
「番号」がわかっていればコード入の画像を作ってレジで提示したら使えちゃうのでしょうか。
悪用する側にとっては楽ちんっぽい。
Re: (スコア:0)
使えますよ
ただ、普通は年齢や性別とかの情報がレジに表示されるのである程度はそこでも弾かれるハズなんですが、
そのレジ打ちの人によるチェック機構もお座なりなんじゃないかってのが流行ってる理由のひとつですね
Re: (スコア:0)
ポンタは店によっては未発行のものを客が取り放題のところがあるので、バーコードを写メして戻されるとやばいかも
バーコードだからどうのこうのでは無く (スコア:0)
Impressの記事読んだ限りローソンID経由で漏れたってのが濃厚じゃね?
>>ローソンIDには、Pontaの番号や、dポイントカードの番号を登録できる。
>>現在は、末尾三桁だけが見える形だが、ローソン広報によれば、サイトへのリスト攻撃が発生していた段階でもdポイントカード番号は末尾3桁だけ表示されており、全ての桁は見えない状態だったとのこと。
番号生成の法則分かってる人から見たら末尾3桁も見えてたら十分過ぎるし
Re: (スコア:0)
ローソン側の勘違い。アプリにログインすれば全桁見れる。
そりゃバーコードで決済できるんだもん、番号丸見えになるのはわかるだろうに。
運営する側がこれだからどうしようもない。