三井住友カードのアプリに不正アクセス、約1万7000件の不正ログインか 45
ストーリー by hylom
リスト型攻撃への対策が求められる 部門より
リスト型攻撃への対策が求められる 部門より
三井住友カードが、同カードの会員向けスマートフォンアプリ「Vpassアプリ」にて不正ログインがあったことを発表した(三井住友カードの発表、 Yahoo!ニュース、INTERNET Watch)。
問題が発覚したのは8月19日で、モニタリングによって同アプリに対する不正ログインが検出されたという。不正ログインに使用されたID・パスワードには実際に同サービスに登録されていないものが多数含まれていたため、リスト型攻撃によるものだと判断されている。
不正ログインの思考総数は約500万件で、不正にログインされた可能性のあるID数は16756件。不正アクセスに成功した場合でも、アクセスできるのは会員の氏名、カード名、クレジットカードの利用情報等のみで、クレジットカード番号の流出はないという。
損害賠償 (スコア:2)
Re: (スコア:0)
誰に対して訴訟するの?
リスト型攻撃でログインされるって事は、パスワードの使い回しをしていた自分の責任が100%だと思うのだが。
Re: (スコア:0)
100%ってことはないだろ。7payが燃えたばかりじゃないか。
本人の端末以外からはログインできない仕組みぐらい用意するべきじゃ。
Re: (スコア:0)
パスワードでログインできる程度の認証システムしか持たないのは怠慢ですよ
今どきワンタイムパスワードや二段階認証は必須でしょう
Vpassは三井住友カードに限らないのではないか? (スコア:2, 参考になる)
Vpassは三井住友カードに限らない気がする。
VJA一覧:Welcome to Vpass
https://www3.vpass.ne.jp/index.jsp [vpass.ne.jp]
カード一覧
北海道
道銀VISAカード
東北
青森銀行VISAカード<aomo>
あおぎんVISAカード
秋田銀行Only Oneカード
あきぎんVISAカード
いわぎんVISAカード
荘銀ブライトワン
北都ブライトワン
東北しんきんVISAカード
七十七VISAカード
大東VISAカード
東邦Alwaysカード
東邦VISAカード
関東
群馬銀行
群銀VISAカード
つくばバンクカード
むさしのVISAカード
京葉銀VISAカード
三井住友VISAカード
しんきんVISAカード
東京VISAカード
三井住友トラストVISAカード
りそなVISAカード
きらぼしカード
きらぼし銀行
横浜バンクカード
中部
北陸VISAカード
北國マルチワンカード
北国VISAカード
三重銀VISAカード
スルガVISAカード
中部しんきんVISAカード
近畿
南都VISAカード
紀陽VISAカード
三井住友VISAカード
近畿しんきんVISAカード
りそなVISAカード
りそなカード(旧関西VISAカード)
三井住友トラストVISAカード(大阪)
池田泉州VISAカード
みなとVISAカード
たんぎんバンクカードVisa
中国
ごうぎんVISAカード
中国銀行VISAカード
中銀VISAカード
中国しんきんVISAカード
やまぎんVISAカード
四国
四国しんきんVISAカード
伊予銀行VISAカード
阿波銀VISAカード
高知VISAカード
四国銀行VISAカード
九州・沖縄
九州VISAカード
九州しんきんVISAカード
FFG VISAカード
福岡銀行VISAカード
さぎんmotecaカード
ちくぎんマルチナVISAカード
鹿児島カードVISA
おきぎんVISAカード
ヒット率高くない? (スコア:1)
試行総数は約500万件で不正ログインが16756件ってことだけど、300回施行したら1回成功するってヒット率高すぎない?
リスト型攻撃って言っても、どういう試行内容(データ)だったんだろ?
Re:ヒット率高くない? (スコア:1)
なかなか出回らないたぐいの数字ではあるけど、
リスト型アカウントハッキングの成功率は 0.1~1.0%くらいと聞いたことがある。
そこからすると、そんなに違和感はないなあ。
Re: (スコア:0)
近頃の不正アクセス事件の特徴として、被害企業は常にリスト型攻撃であったと主張します。漏洩の責任を他者に押し付けることができますし、リスト型攻撃でないことを部外者が証明することは不可能だからでしょう。7payですらリスト型攻撃ではなさそうな状況証拠がいくつかあったにもかかわらずリスト型攻撃と言い張っていましたし。
Re: (スコア:0)
会員登録ができる通販サイトで、いいかげんな運営の処が、会員ID、パスワード、カード番号等々を必要なら平文で取り出せる形で保存していて、そのリストが使われたとか。
Re: (スコア:0)
1.6万アカウントに対して500万回、ログイン試行されたという話かと思った。
Re: (スコア:0)
キャッシュカードと暗証番号だったら生年月日がそのくらいのヒット率なら意外と低いで済みそうな程度に思う。
三井住友VISAは割りと不正利用チェック厳しい感じ (スコア:1)
数年前はわりと06の市外局番から利用確認の電話が来てた。
最近だとカードでAppleIDに少額の入金を3回連続繰り返したら一時的に利用停止となり、SMSで確認来たのでちょっと驚いた。
カード番号は本当に漏れていないのかな? (スコア:1)
公式発表だと
ということになっているのですが,VpassのWeb版だと最後の3桁以外が見える仕様なのですよ
で,逆にいろんなサービスではカード番号の最後の4桁以外を隠していることが多い印象で
これ要するに情報を組み合わせれば全桁ばれると思うんですね
Vpassアプリだとちゃんと全部隠れているのかな?
# アプリ版使ってなくて導入する気もないのでAC
Re: (スコア:0)
どの桁を隠すかのデジュリスタンダードが必要だな
Re:カード番号は本当に漏れていないのかな? (スコア:2, 参考になる)
今さら何を。PCI-DSSで上6下4桁以外はマスクって決まってるじゃん。
Re: (スコア:0)
組み合わせなくても1000回試行で行けるってこと?
しかも最後の桁はチェックディジットだそうで、100回で行けるのでは?
https://twitter.com/ockeghem/status/1165059484298776576 [twitter.com]
なんでそんなことしてるのやら……
Re: (スコア:0)
理屈上は有効なカード番号を割り出せても実際に有効かどうかはわからんので、
そこからさらに有効期限確認アタック(※)が行われる。
※:ツールを使って通販サイトとかでちょっとずつ有効期限を変えて与信が通るか注文を試す攻撃。
在庫の概念が無い募金サイトなどが狙われやすい。主に中国人犯罪組織が行う。
Re: (スコア:0)
> 主に中国人犯罪組織が行う。
面白いネタをお持ちですな
日本人犯罪組織や韓国人、台湾系犯罪組織が好むのはどんなのなんだろう
連絡ありませんねぇ (スコア:0)
カード持っていますが、この件の通知はありませんねぇ。
まぁ、不正ログインされた人に連絡とありましたから、大丈夫だったってことなのかねぇ。
しかし、漏洩した「お客さまの氏名、カード名称、カードご利用金額、ご利用明細、ご利用可能額、ポイント残高等」ってだけでも悪用しようと思えば十分できそうな気がする。
Re:連絡ありませんねぇ (スコア:1)
ウチには連絡きたよ。SMSで
てっきり新手の詐欺かと思った。そういえば昔々Vpass登録したっけ。
今はつかってないから三井住友だがパスワードリセットするとか言われてもピンとこなかった。
Re: (スコア:0)
うちもないね。Vpassアプリ使ってないけど。
よくわからん (スコア:0)
別にアプリに存在した脆弱性を突いたってわけじゃないんだよな?
なんでわざわざアプリからのログインだったのだろう。ウェブのが簡単では。
Re: (スコア:0)
このアプリって指紋認証とかついているんですけど、指紋登録前の初回だとセキュリティが弱かったとか?
Re:よくわからん (スコア:2, 参考になる)
たぶん、攻撃者はアプリを介さずに、アプリ用サーバーに直接アクセスしたのではないか?
指紋認証はあくまで端末上での認証にしか使ってなくて、FIDOに準じた作りとかにしていない残念な作りなのだろう。
PCだとパズル認証があるけれど、アプリ用サーバーにはなくて狙われたのかも(アプリ使ってないから憶測)。
せっかくアプリにするなら、FIDO(に準じる/認定は受けなくても)とか、クライアント証明書使うとかして欲しかった…。
Re: (スコア:0)
そういえばパズル認証って異様に自動化に向いてるように見えるけど、あれは何を見てるの?
動きが人間っぽいかどうか?
Re: (スコア:0)
Webはロボ回避がある
Re: (スコア:0)
日本の大企業のアプリってほとんどがただのWebViewでウェブ開いてるだけじゃないっけ・・・
アプリ向けのログインページを使ったってだけじゃないかな。
IDをわざわざ変えた方 (スコア:0)
が被害にあったのだろうか?
VpassIDって、最初は勝手に設定されるから、
わざわざ変えない限り他のサービスと同じIDになることは考えにくい。
記号に「@」も使えないはずだからメールアドレス全体と一致することもない。
記事から察するにパスワードだけのリストではなさそうだから、
被害を受けた方は、わざわざ他のサービスとIDを揃えていた可能性がある…。
Re: (スコア:0)
@の前の部分だけをIDにしているとか
Re: (スコア:0)
見た感じIDが固定長乱数だから、パスワードを固定してIDを固定長乱数でぶん回したんじゃね
普通のリバースブルートフォースは未知のパスワードと既知のIDでやるけど既知のパスワードと未知のIDでも仕組みは同じ
Re: (スコア:0)
むしろ他のサービスのIDとしてVpassIDを流用したんじゃないだろうか?
勝手に決められたID, Passを覚えちゃったから、何か設定しろって言われた別のサービスでも使っちゃった、てへ
# 多少身に覚えがあるのでAC
ユーザーがパスワードを自分で設定できることが脆弱性 (スコア:0)
直ちに修正せよ。
Re:ユーザーがパスワードを自分で設定できることが脆弱性 (スコア:2, 興味深い)
「仮パスワード」はなぜ使い続けてはだめなのか?という話と同じですね。
簡単に言うと、「仮パスワード」は「発行したもの」という扱いになります。
サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため、
「サービス側は永遠に生パスワードを残さなければならない」ことを意味します。
ユーザー側が受け取ってない!覚えられなかった!となる可能性があるためです。
それと、サービス側が発行したパスワードがたまたま不快な単語を含む場合
…例えば「FxckYou」とか…、ユーザーは拒否できるようにしなければなりません。
何を不快に感じるかは人それぞれなので、どんなにランダムに見えても、
この文字列は侮辱だ、厳重に管理できない、と主張されたら、対応せざるを得ません。
電話番号とかで出前の電話と類似したために、間違い電話がかかってくる場合、
変更してくれる、というケースと同じ話です。
これらは倫理・人権の問題になるので、サービス側の都合で決め打ちしたり、
利用規約で縛り切れるものではありません。
なので、
パスワードでない公開鍵認証で、同じ目的のことが実現されています。
例えば、FIDO認証は、クライアント側で鍵を作りますが、
それはユーザー抜きにランダムなパスワードを生成してるのと同じことです。
パスワードとは異なり、ユーザーは鍵となる文字列ではなく、証明書という
データファイルを管理し、その管理のための「ユーザーが厳重に管理しなけ
ればならない情報」である指紋なりPINパスワードなりを、好きに設定できる
形になっています。
簡単に~、と言いつつ長くなったけど、まとめると、
「(サーバー側の)パスワードを自分で設定できる脆弱性」を突き詰めると、
パスワードという考え方自体に問題があるため、対策にはパスワードレスの
FIDO認証やクライアント証明書みたいなものが必要、ということになります。
Re: (スコア:0)
> サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため
こんなことを規定している法律なんてありましたか?
それとも内輪のオレオレルールですか?
Re:ユーザーがパスワードを自分で設定できることが脆弱性 (スコア:1)
暗証番号紛失時、
サービス側の過失を問われたときに裁判で負けたくなければ、
証跡を残すしかないよ。
例えば、免許証の暗証番号が印刷されるのも、同じ理由。
Re: (スコア:0)
補足:万が一、免許証の暗証番号が警察のミスで正しく設定されていなかった場合、印刷された暗証番号は、警察の過失を問う重要な証拠となります。
Re: (スコア:0)
警察がなぜ、自分たちの過失を問うための証拠を残す必要があるの?
「サービス側の過失を問われたときに裁判で負けたくなければ、」はこの場合のサービス側は警察だよね?
あと印刷はしても、暗証番号は設定されていない場合があったとして、印刷された暗証番号はサービス側の何の役に立つの?
免許証の場合、暗証番号が正しく設定されているかどうかは、確認してね、と言われて、端末で確認したような。
Re: (スコア:0)
つまりオレオレルールの押し付けですね。
あなたのルールより、利用者の安全のほうが大事だと、私は考えます。
Re: (スコア:0)
>利用者の安全のほうが大事だと、私は考えます。
それもオレオレルールじゃないか。
#その辺りは単純なコスト問題に帰結する
Re: (スコア:0)
サービス側がパスワードを作るなら、ユーザーがパスワードを受け取るまでの間は、サービス側にそのパスワードを管理する責任が生じるでしょう。
これは、ユーザー側がパスワードを決める場合に、ユーザーがパスワードを管理する責任を負う契約文が有効であることの裏返しです。
クレジットカードの更新の際に、転送不要や簡易書留にしている会社があることと同じです。
これは、ユーザーが受け取るまで、そのクレジットカードの盗難・紛失に関する責任は、サービス会社側にあるからです。
それが、発行した側の責任です。
これは、パスワードでも同じです。
パスワードを受け取るまでの
Re: (スコア:0)
あなたの言い分だと、発行したワンタイムパスワードも記録しておくことになりますね。
そんなこと必要ですか?
本当にそれが安全に結びつきますか?
2要素認証じゃないの (スコア:0)
セブンペイだけの問題じゃなかったってことですか。
Re: (スコア:0)
だから5要素認証を必須にしろとあれほど
Re: (スコア:0)
パズル認証とかいうジョーク機能との2要素認証だよ。と思ったらスマホアプリはそれすらなかった。どっちかというとクロネコメンバーズのケースじゃね(ログイン経路によっては2要素認証を迂回できるという意味で)。
IDとパスワードを忘れたので (スコア:0)
あれこれ試してたら500万回くらいになったんでしょう。ありがちなことですよ。