パスワードを忘れた? アカウント作成
13989592 story
インターネット

三井住友カードのアプリに不正アクセス、約1万7000件の不正ログインか 45

ストーリー by hylom
リスト型攻撃への対策が求められる 部門より

三井住友カードが、同カードの会員向けスマートフォンアプリ「Vpassアプリ」にて不正ログインがあったことを発表した(三井住友カードの発表Yahoo!ニュースINTERNET Watch)。

問題が発覚したのは8月19日で、モニタリングによって同アプリに対する不正ログインが検出されたという。不正ログインに使用されたID・パスワードには実際に同サービスに登録されていないものが多数含まれていたため、リスト型攻撃によるものだと判断されている。

不正ログインの思考総数は約500万件で、不正にログインされた可能性のあるID数は16756件。不正アクセスに成功した場合でも、アクセスできるのは会員の氏名、カード名、クレジットカードの利用情報等のみで、クレジットカード番号の流出はないという。

  • by tol (19142) on 2019年08月26日 18時29分 (#3675506)
    で訴える人は出てくるのかな?カードの利用状況とかは、かなりセンシティブな個人情報では。 https://www.bengo4.com/c_18/n_1767/ [bengo4.com]
    ここに返信
    • by Anonymous Coward

      誰に対して訴訟するの?
      リスト型攻撃でログインされるって事は、パスワードの使い回しをしていた自分の責任が100%だと思うのだが。

      • by Anonymous Coward

        100%ってことはないだろ。7payが燃えたばかりじゃないか。
        本人の端末以外からはログインできない仕組みぐらい用意するべきじゃ。

      • by Anonymous Coward

        パスワードでログインできる程度の認証システムしか持たないのは怠慢ですよ
        今どきワンタイムパスワードや二段階認証は必須でしょう

  • by Anonymous Coward on 2019年08月26日 19時10分 (#3675532)

    Vpassは三井住友カードに限らない気がする。

    VJA一覧:Welcome to Vpass
    https://www3.vpass.ne.jp/index.jsp [vpass.ne.jp]

    カード一覧
    北海道

            道銀VISAカード

    東北

            青森銀行VISAカード<aomo>
            あおぎんVISAカード
            秋田銀行Only Oneカード
            あきぎんVISAカード
            いわぎんVISAカード
            荘銀ブライトワン
            北都ブライトワン
            東北しんきんVISAカード
            七十七VISAカード
            大東VISAカード
            東邦Alwaysカード
            東邦VISAカード

    関東

            群馬銀行
            群銀VISAカード
            つくばバンクカード
            むさしのVISAカード
            京葉銀VISAカード
            三井住友VISAカード
            しんきんVISAカード
            東京VISAカード
            三井住友トラストVISAカード
            りそなVISAカード
            きらぼしカード
            きらぼし銀行
            横浜バンクカード

    中部

            北陸VISAカード
            北國マルチワンカード
            北国VISAカード
            三重銀VISAカード
            スルガVISAカード
            中部しんきんVISAカード

    近畿

            南都VISAカード
            紀陽VISAカード
            三井住友VISAカード
            近畿しんきんVISAカード
            りそなVISAカード
            りそなカード(旧関西VISAカード)
            三井住友トラストVISAカード(大阪)
            池田泉州VISAカード
            みなとVISAカード
            たんぎんバンクカードVisa

    中国

            ごうぎんVISAカード
            中国銀行VISAカード
            中銀VISAカード
            中国しんきんVISAカード
            やまぎんVISAカード

    四国

            四国しんきんVISAカード
            伊予銀行VISAカード
            阿波銀VISAカード
            高知VISAカード
            四国銀行VISAカード

    九州・沖縄

            九州VISAカード
            九州しんきんVISAカード
            FFG VISAカード
            福岡銀行VISAカード
            さぎんmotecaカード
            ちくぎんマルチナVISAカード
            鹿児島カードVISA
            おきぎんVISAカード

    ここに返信
  • by Anonymous Coward on 2019年08月26日 18時56分 (#3675525)

    試行総数は約500万件で不正ログインが16756件ってことだけど、300回施行したら1回成功するってヒット率高すぎない?

    リスト型攻撃って言っても、どういう試行内容(データ)だったんだろ?

    ここに返信
    • by nim (10479) on 2019年08月27日 10時57分 (#3675847)

      なかなか出回らないたぐいの数字ではあるけど、
      リスト型アカウントハッキングの成功率は 0.1~1.0%くらいと聞いたことがある。
      そこからすると、そんなに違和感はないなあ。

    • by Anonymous Coward

      近頃の不正アクセス事件の特徴として、被害企業は常にリスト型攻撃であったと主張します。漏洩の責任を他者に押し付けることができますし、リスト型攻撃でないことを部外者が証明することは不可能だからでしょう。7payですらリスト型攻撃ではなさそうな状況証拠がいくつかあったにもかかわらずリスト型攻撃と言い張っていましたし。

    • by Anonymous Coward

      会員登録ができる通販サイトで、いいかげんな運営の処が、会員ID、パスワード、カード番号等々を必要なら平文で取り出せる形で保存していて、そのリストが使われたとか。

    • by Anonymous Coward

      1.6万アカウントに対して500万回、ログイン試行されたという話かと思った。

    • by Anonymous Coward

      キャッシュカードと暗証番号だったら生年月日がそのくらいのヒット率なら意外と低いで済みそうな程度に思う。

  • by Anonymous Coward on 2019年08月26日 19時23分 (#3675540)

    数年前はわりと06の市外局番から利用確認の電話が来てた。
    最近だとカードでAppleIDに少額の入金を3回連続繰り返したら一時的に利用停止となり、SMSで確認来たのでちょっと驚いた。

    ここに返信
  • by Anonymous Coward on 2019年08月26日 20時08分 (#3675562)

    公式発表だと

    なお、クレジットカード番号につきましては、マスキングを実施しておりますので特定されることはありません。

    ということになっているのですが,VpassのWeb版だと最後の3桁以外が見える仕様なのですよ
    で,逆にいろんなサービスではカード番号の最後の4桁以外を隠していることが多い印象で
    これ要するに情報を組み合わせれば全桁ばれると思うんですね

    Vpassアプリだとちゃんと全部隠れているのかな?
    # アプリ版使ってなくて導入する気もないのでAC

    ここに返信
    • by Anonymous Coward

      どの桁を隠すかのデジュリスタンダードが必要だな

    • by Anonymous Coward

      組み合わせなくても1000回試行で行けるってこと?
      しかも最後の桁はチェックディジットだそうで、100回で行けるのでは?
      https://twitter.com/ockeghem/status/1165059484298776576 [twitter.com]
      なんでそんなことしてるのやら……

      • by Anonymous Coward

        理屈上は有効なカード番号を割り出せても実際に有効かどうかはわからんので、
        そこからさらに有効期限確認アタック(※)が行われる。

        ※:ツールを使って通販サイトとかでちょっとずつ有効期限を変えて与信が通るか注文を試す攻撃。
         在庫の概念が無い募金サイトなどが狙われやすい。主に中国人犯罪組織が行う。

        • by Anonymous Coward

          > 主に中国人犯罪組織が行う。
          面白いネタをお持ちですな
          日本人犯罪組織や韓国人、台湾系犯罪組織が好むのはどんなのなんだろう

  • by Anonymous Coward on 2019年08月26日 18時27分 (#3675504)

    カード持っていますが、この件の通知はありませんねぇ。
    まぁ、不正ログインされた人に連絡とありましたから、大丈夫だったってことなのかねぇ。

    しかし、漏洩した「お客さまの氏名、カード名称、カードご利用金額、ご利用明細、ご利用可能額、ポイント残高等」ってだけでも悪用しようと思えば十分できそうな気がする。

    ここに返信
    • by Anonymous Coward on 2019年08月26日 21時37分 (#3675606)

      ウチには連絡きたよ。SMSで
      てっきり新手の詐欺かと思った。そういえば昔々Vpass登録したっけ。
      今はつかってないから三井住友だがパスワードリセットするとか言われてもピンとこなかった。

    • by Anonymous Coward

      うちもないね。Vpassアプリ使ってないけど。

  • by Anonymous Coward on 2019年08月26日 18時45分 (#3675515)

    別にアプリに存在した脆弱性を突いたってわけじゃないんだよな?
    なんでわざわざアプリからのログインだったのだろう。ウェブのが簡単では。

    ここに返信
    • by Anonymous Coward

      このアプリって指紋認証とかついているんですけど、指紋登録前の初回だとセキュリティが弱かったとか?

      • Re:よくわからん (スコア:2, 参考になる)

        by Anonymous Coward on 2019年08月26日 19時11分 (#3675533)

        たぶん、攻撃者はアプリを介さずに、アプリ用サーバーに直接アクセスしたのではないか?
        指紋認証はあくまで端末上での認証にしか使ってなくて、FIDOに準じた作りとかにしていない残念な作りなのだろう。
        PCだとパズル認証があるけれど、アプリ用サーバーにはなくて狙われたのかも(アプリ使ってないから憶測)。

        せっかくアプリにするなら、FIDO(に準じる/認定は受けなくても)とか、クライアント証明書使うとかして欲しかった…。

        • by Anonymous Coward

          そういえばパズル認証って異様に自動化に向いてるように見えるけど、あれは何を見てるの?
          動きが人間っぽいかどうか?

    • by Anonymous Coward

      Webはロボ回避がある

    • by Anonymous Coward

      日本の大企業のアプリってほとんどがただのWebViewでウェブ開いてるだけじゃないっけ・・・
      アプリ向けのログインページを使ったってだけじゃないかな。

  • by Anonymous Coward on 2019年08月26日 18時55分 (#3675524)

    が被害にあったのだろうか?

    VpassIDって、最初は勝手に設定されるから、
    わざわざ変えない限り他のサービスと同じIDになることは考えにくい。
    記号に「@」も使えないはずだからメールアドレス全体と一致することもない。
    記事から察するにパスワードだけのリストではなさそうだから、
    被害を受けた方は、わざわざ他のサービスとIDを揃えていた可能性がある…。

    ここに返信
    • by Anonymous Coward

      @の前の部分だけをIDにしているとか

    • by Anonymous Coward

      見た感じIDが固定長乱数だから、パスワードを固定してIDを固定長乱数でぶん回したんじゃね
      普通のリバースブルートフォースは未知のパスワードと既知のIDでやるけど既知のパスワードと未知のIDでも仕組みは同じ

    • by Anonymous Coward

      むしろ他のサービスのIDとしてVpassIDを流用したんじゃないだろうか?
      勝手に決められたID, Passを覚えちゃったから、何か設定しろって言われた別のサービスでも使っちゃった、てへ

      # 多少身に覚えがあるのでAC

  • 直ちに修正せよ。

    ここに返信
    • by Anonymous Coward on 2019年08月26日 20時02分 (#3675558)

      「仮パスワード」はなぜ使い続けてはだめなのか?という話と同じですね。

      簡単に言うと、「仮パスワード」は「発行したもの」という扱いになります。
      サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため、
      「サービス側は永遠に生パスワードを残さなければならない」ことを意味します。
      ユーザー側が受け取ってない!覚えられなかった!となる可能性があるためです。

      それと、サービス側が発行したパスワードがたまたま不快な単語を含む場合
      …例えば「FxckYou」とか…、ユーザーは拒否できるようにしなければなりません。
      何を不快に感じるかは人それぞれなので、どんなにランダムに見えても、
      この文字列は侮辱だ、厳重に管理できない、と主張されたら、対応せざるを得ません。
      電話番号とかで出前の電話と類似したために、間違い電話がかかってくる場合、
      変更してくれる、というケースと同じ話です。
      これらは倫理・人権の問題になるので、サービス側の都合で決め打ちしたり、
      利用規約で縛り切れるものではありません。

      なので、
      パスワードでない公開鍵認証で、同じ目的のことが実現されています。
      例えば、FIDO認証は、クライアント側で鍵を作りますが、
      それはユーザー抜きにランダムなパスワードを生成してるのと同じことです。
      パスワードとは異なり、ユーザーは鍵となる文字列ではなく、証明書という
      データファイルを管理し、その管理のための「ユーザーが厳重に管理しなけ
      ればならない情報」である指紋なりPINパスワードなりを、好きに設定できる
      形になっています。

      簡単に~、と言いつつ長くなったけど、まとめると、
      「(サーバー側の)パスワードを自分で設定できる脆弱性」を突き詰めると、
      パスワードという考え方自体に問題があるため、対策にはパスワードレスの
      FIDO認証やクライアント証明書みたいなものが必要、ということになります。

      • by Anonymous Coward

        > サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため

        こんなことを規定している法律なんてありましたか?
        それとも内輪のオレオレルールですか?

        • 暗証番号紛失時、
          サービス側の過失を問われたときに裁判で負けたくなければ、
          証跡を残すしかないよ。

          例えば、免許証の暗証番号が印刷されるのも、同じ理由。

          • by Anonymous Coward

            補足:万が一、免許証の暗証番号が警察のミスで正しく設定されていなかった場合、印刷された暗証番号は、警察の過失を問う重要な証拠となります。

            • by Anonymous Coward

              警察がなぜ、自分たちの過失を問うための証拠を残す必要があるの?
              「サービス側の過失を問われたときに裁判で負けたくなければ、」はこの場合のサービス側は警察だよね?

              あと印刷はしても、暗証番号は設定されていない場合があったとして、印刷された暗証番号はサービス側の何の役に立つの?

              免許証の場合、暗証番号が正しく設定されているかどうかは、確認してね、と言われて、端末で確認したような。

          • by Anonymous Coward

            つまりオレオレルールの押し付けですね。
            あなたのルールより、利用者の安全のほうが大事だと、私は考えます。

            • by Anonymous Coward

              >利用者の安全のほうが大事だと、私は考えます。
              それもオレオレルールじゃないか。

              #その辺りは単純なコスト問題に帰結する

        • by Anonymous Coward

          サービス側がパスワードを作るなら、ユーザーがパスワードを受け取るまでの間は、サービス側にそのパスワードを管理する責任が生じるでしょう。
          これは、ユーザー側がパスワードを決める場合に、ユーザーがパスワードを管理する責任を負う契約文が有効であることの裏返しです。

          クレジットカードの更新の際に、転送不要や簡易書留にしている会社があることと同じです。
          これは、ユーザーが受け取るまで、そのクレジットカードの盗難・紛失に関する責任は、サービス会社側にあるからです。
          それが、発行した側の責任です。
          これは、パスワードでも同じです。
          パスワードを受け取るまでの

      • by Anonymous Coward

        あなたの言い分だと、発行したワンタイムパスワードも記録しておくことになりますね。
        そんなこと必要ですか?
        本当にそれが安全に結びつきますか?

  • by Anonymous Coward on 2019年08月26日 20時41分 (#3675574)

    セブンペイだけの問題じゃなかったってことですか。

    ここに返信
    • by Anonymous Coward

      だから5要素認証を必須にしろとあれほど

    • by Anonymous Coward

      パズル認証とかいうジョーク機能との2要素認証だよ。と思ったらスマホアプリはそれすらなかった。どっちかというとクロネコメンバーズのケースじゃね(ログイン経路によっては2要素認証を迂回できるという意味で)。

  • by Anonymous Coward on 2019年08月26日 22時23分 (#3675622)

    あれこれ試してたら500万回くらいになったんでしょう。ありがちなことですよ。

    ここに返信
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...