先日、クレジットカードの被害についてNHKのあさイチで放送があった。番組の中でクレジットカードの被害者が被害状況を話していたが、従来の不正利用とは異なるものだった。 被害者はカメラが趣味で、日頃からネットでカメラ関係の商品を購入していた。たまたま明細を確認すると、見に覚えのない数千円のカメラ関連の商品に目が止まった。クレジットカード会社に連絡したが、自分が購入していないという証明に時間がかかり、補償期間60日が過ぎ、泣き寝入りになってしまったという内容だ。 最近はネットショッピングやネットオークションの運営会社、クレジットカード会社の監視システムの性能が良くなり、かなりの被害を未然に防いでいる。 しかし、従来では高額商品を一気に購入するというのが不正利用では多かったが、被害者が購入しそうな商品を定期的に購入し続け、監視の目をくぐり抜けるケースも増えてきているという。 今回、筆者にポイントの不正利用についての情報が届き、ポイントの不正利用についても同じような傾向があるのではないかと思い、詳しく手口を紹介したい(画面のキャプチャは被害者に提供を依頼した)。 ポイントの管理ツールで被害にあったことが判明 被害者のAさんは、ポイント管理機能の「ポイント自動管理」を日々利用している。更新したところ、5桁(数万ポイント)あったTポイントが突然3桁(数百ポイント)に減ったことに気がついた。 そこで、AさんはTサイトにログインし、Tポイントの履歴を確認した。 2016年7月11日(月)に「ヤフー・かんたん決済 *」とあり、13,062ポイントが使われていた。 足のつきにくいダウンロードでポイントを利用 Aさんはメールを確認したがYahoo! ショッピングやヤフオク!からのメールは無かった。通常は購入に関するメールがあるはずだが、メールを確認してもメールが存在しなかったようだ。関連するYahoo! メールも削除されたのだろうか。 何に使われたのか不明のため、Yahoo! ポイント通帳を確認。ポイント通帳の「内容」にあったリンクからアクセスすると、「[3DS] 暗殺教室 殺せんせー大包囲網!!(ダウンロード版)」が、2016年7月11日(月)に支払済みとなっていた。 足のつきにくいゲームのダウンロードにポイントが使われたということだ。 ちなみに、出品者にも連絡したようだが、「コードはすでに使われました」との連絡のみだ。ただし、現時点で、このオークションに絡んだ利用者IDは全て停止中となっている。また、評価も2016年7月9日(土)からしか付いていないため、ポイントの不正利用に使うためのアカウントだった可能性もある。 Yahoo! JAPANのログイン履歴で確認 Aさんは、被害にあった後にログイン履歴を確認したところ、見に覚えのないログインが2件見つけた。2016年7月3日(日) 15時2分32秒の「戦国IXA(センゴクイクサ)(外部)」と、2016年7月11日(月) 12時30分47秒の「ショッピング」となる。 2016年7月11日(月)はTサイト、ヤフオク!と同じ日付になっているため、このアクセスでポイントが使われたということだ。 さらに、日付を遡ると、2016年7月3日(日)にも見に覚えのないアクセスがあった。つまり、犯人は最初のログインから8日後にポイントを不正利用したということで、ログインに成功した時に使用したわけではない。 自作自演のような出品者アカウント、ログイン直後の利用ではないということからも、ポイント不正利用の準備をしていたのではないだろうか。 大量被害がないため不正利用が発覚しにくい 従来のポイント被害の多くは、連休中に一気にリスト型攻撃(他のサイトから流出したID・パスワードの組み合わせを順番に試す方式)を仕掛け、Amazonギフト券やiTunesギフトコードに交換されていた。連休が終わり、大量の被害者が発生しているため、ポイントの不正利用はすぐに気がつく。 ポイントの不正利用に気がついた企業は、ポイントシステムを停止し、被害状況を詳しく調べ、利用者にはポイントを補填、警察には被害届を出す。不正利用対策を行い、システムを再稼働する、というのが一般的だった。 しかし、今回は大規模にポイント不正利用が発生したわけではない。さらに、不正ログインに成功してから8日間もポイントを使っていないのだ。冒頭で紹介したクレジットカードの被害に近く、監視の目をくぐり抜けるために、ログインに成功した直後にポイントを使わなかった可能性もある。 ポイントは補償がない Aさんは警視庁サイバー犯罪相談窓口にも電話したが「この場合の被害者は勝手にアドレスを使われたヤフーになる」とのことで、被害届を出すこともできなかった。 また、クレジットカードと違い、ポイントの補償は規約にも書かれていない。先ほど、「企業は利用者にポイントを補填し」と書いたが、一般的には補填する義務はないのだ。大規模な被害があり、メディアにも大きく取り上げられている。世間体を考えての補填となるため、今回のようにメディアで大きく紹介されないような被害の場合は、ポイントの補填は行われないだろう。 元々、ポイントは利用者の所有物ではない。ポイントはポイント発行企業のものなのだ。また、ポイントを保護する法律もない。第三の通貨とも言われるポイントだが、実は非常に脆弱な通貨ということを覚えておいて欲しい。 ポイントの不正利用被害に合わないためには? では、ポイントを不正利用されないようにする方法を3つ紹介しよう。 1つ目はポイントを貯めこまずに使い切ることだ。筆者は不正ログインは防ぎようはないと考えているが、不正ログインがあったとしてもポイントがなければ使われることはない。また、先日あさイチでも紹介したように、ショッピングサイトにクレジットカードを登録しないというのもおススメだ。クレジットカードを登録している場合は、ログインが成功した場合に購入されてしまう。ポイントであれば保有ポイント以上の被害はないが、クレジットカードの場合は高額被害もあり得る。 2つ目はログインアラートを活用することだ。サイトによってはログイン時にアラートメールを送る機能が用意されている場合がある。Yahoo! JAPANの場合は、ログインアラートを設定することができ、「ログイン時は常に通知」にチェックしておくと「ログイン日時」「IPアドレス」などがメールで通知される。今回の場合は、2016年7月3日(日)時点で気がつく可能性もあったと言うことだ。 3つ目は、ID・パスワードを他のサイトと違うものにする。あさイチでも紹介したが、Test123という固定パスワードを作成し、それにサイト名を付けるという具合だ。「Test123+site」というパスワードとするということになる。 不正アクセスについては、総当たり攻撃(ブルートフォースアタック)かリスト型攻撃となる。総当たり攻撃とは辞書に掲載されている単語、数字の組み合わせを手当たり次第機械的に確認する方法だが、最近では同じIPアドレスからの大量アクセスを検知するような仕組みも用意されているため、確率の高いリスト型攻撃が使われる場合が多いだろう。 リスト型攻撃の場合は、他のサイトで漏洩したメールアドレス+パスワード(漏洩したパスワード:Test123+rouei)という組み合わせで機械的にログインを試み、失敗したら次のメールアドレス+パスワードでログインを試みる、という仕組みとなる。そのため、+siteなどを付けるだけでもある程度は防御できるというわけだ。 [divide style="3"] どんなにID・パスワードをサイトごとに変えたとしても、世界中のクラッカーは+siteなども対応するようなプログラムを作っていくだろう。そのため、ID・パスワードでのログインは、どうやっても不正ログイン被害から守ることはできない。つまり、1つ目のポイントを使うというのが最強の防御方法ということだ。 この時代、「不正ログインは当たり前」と考え、不正にログインされてもポイントやクレジットカードを利用されないような対策を考えながら使っていくべきだろう。

"ポイントがネットで不正利用された! ポイント不正利用被害の手口、対策を公開!" の続きを読む »

2016/07/14 16:24:07 | 寄稿記事