パスワードを忘れた? アカウント作成
10793925 story
犯罪

MyJCBに不正アクセス、JCBカードのポイントがTポイントに交換される 32

ストーリー by hylom
リスト型攻撃だと対処は難しそうだ 部門より
headless 曰く、

JCBは27日、JCBカード会員専用のWebサービス「MyJCB」に不審なアクセスが繰り返されたとして、25日23時53分から断続的にサービスを停止したことを発表した(「MyJCB(マイジェーシービー)」への不正アクセスについて読売新聞)。

読売新聞の記事によると、他社サービスから流出したIDとパスワードを使用した不正なログイン試行が繰り返されたものとみられ、ログインが実際に成功したのは3桁の前半程度。その一部でJCBカードのポイントをTポイントに交換する不正利用があったとのこと。Tポイントは身分証明なしで登録可能なYahoo! IDと連携しているため、犯罪者がポイント交換の足場として使っていることが多いという。

JCBではMyJCBへのアクセスを24時間体制で監視し、不審なアクセスを検知した場合はサービスを停止するなどの対応を行うとしている。また、不正にログインされた可能性のあるユーザーに対しては個別に確認の連絡をしているとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 断続的? (スコア:3, 参考になる)

    by KENN (3839) on 2014年03月29日 11時58分 (#2571410) ホームページ 日記

    昨日、一昨日と、計5,6回ログイン試行しましたが、1度も使えませんでした。どちらの日も似たような時間帯にアクセスしたからかもしれませんが。

    # さっきやったらログインできたので、ようやく来月引き落とし分の明細のダウンロードができました。

    ちなみにMyJCBのIDはシステム側から英数字の組み合わせで機械的に割り当てられるはず(少なくとも初期の設定はそう。IDを自分で変更できるかどうかまでは確認してません)なので、他のサービスから流出したIDとパスワードの組み合わせで不正ログインするためには、その本人が意図的に他のサービスで同じIDとパスワードを設定する必要があるはずです。

    それよりは、パスワードを固定してIDを変化させる、いわゆるリバースブルートフォースと呼ばれる攻撃と考える方がしっくりきます。MyJCBのIDは、英数字といっても完全なランダムではなく、前半が英字で後半が数字、という規則性があるようなので。

    • by Anonymous Coward

      ID変更出来ますよ。MyJCBログイン後、お客様情報の変更-MyJCB IDの変更。

      • by KENN (3839) on 2014年03月29日 17時23分 (#2571579) ホームページ 日記

        MyJCBのサービスは10年以上使ってるはずですが、IDを変えられることを今はじめて知りました(笑) まぁ、今ではKeePass [keepass.info]でパスワード生成&管理しているので、今更他のサービスとIDやパスワードを揃えて、リスクを高めようとは思いませんけど。

        どうも自分の使ってるサービスで、ここのところこの手の事例が多発してるので(ANAマイレージ、Suicaポイントに続いて3件目。一応、直接の被害者にはなっていませんが)、「しばらくパスワード変えた覚えがないなぁ」と気づいたサービスから、順次システムが許容する最大文字数のパスワードに変えていってます。

        親コメント
        • by Anonymous Coward

          私は最近、IDも可能ならランダム文字列にしてます。

    • by Anonymous Coward

      >>昨日、一昨日と、計5,6回ログイン試行しましたが、1度も使えませんでした。

      なぜ、断続的に「?」つけてるの?

      • by Anonymous Coward

        元コメ書いた人じゃないですけど、私の環境からだと普通の漢字・平仮名・片仮名・句読点・カンマしか見えないので、文字化けしているのでは。
        (どっちの人の問題かは知らない)

        • by Anonymous Coward

          タイトル、文字化けしてる?

  • by Anonymous Coward on 2014年03月28日 21時11分 (#2571111)

    >他社サービスから流出したIDとパスワードを使用した不正なログイン
    これって同じパスワードを使用してなければ基本的に問題ないんですよね?

    むしろ流出させた他社サービスとやらの方が気になるんですけど
    こういうニュースで名前が出てこないのは何でなんだろう
    まさか嘘ってことじゃないですよね?

    • by monaoh (12125) on 2014年03月28日 22時12分 (#2571152)

      ブルートフォースの類ではなく、IDとパスワードのピンポイントの組み合わせによる不正ログインがあったとして。
      アタックされた側はどうやったら漏洩元を知ることができると思いますか?

      私は無理だと思いますけど。

      親コメント
    • by Anonymous Coward on 2014年03月29日 1時04分 (#2571244)

      複数の被害にあった人間が登録してる情報突き合わせれば、ある程度は絞り込めるんじゃないかなぁ
      警察なりセキュリティ屋なりはそのくらい疾うに調べてるとは思うんだがね

      まぁ、他社サービスから流出でない方法で入られて大規模にやらかしたところなんじゃないの?
      最近のでパッと思いつくのはYah○o! Japan [yomiuri.co.jp]とか○CN [impress.co.jp]とか
      ただ、公表してない組織があるかもしれないし、公表してるところでもその情報がすべて真実とも限らないわけで
      #2571172 [srad.jp]が言うように一箇所のお漏らしからとも限らないか

      親コメント
      • Re:最近多いけど (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2014年03月29日 11時45分 (#2571400)

        このたびの不正アクセスにより被害にあわれた皆様には心よりお見舞い申し上げます。
        さて、当方ではこのような不正アクセスを防ぐべく鋭意調査を行っており、
        その中で皆様の他社サービスの利用状況、アカウント情報の突合せを行うことなりました。
        つきましては、下記6社のサービスについてユーザー名とパスワードのご提供をお願いしております。

        yahoo, google, apple, ANA, amazon, 楽天

        よろしくお願いいたします。
                                                            ご連絡先

        親コメント
    • by Anonymous Coward

      最近多いって言うのが答えそのもの。
      あちこちのサイトで大量ログインを試行して
      集まったid,pass組み合わせやpass辞書、メアドなどを学習しさらに別のサイトにログインを試行。
      今流行のビッグデータですよ。

    • by Anonymous Coward

      自社サイトから流出した情報にもとづいていたら
      「ログイン試行が繰り返され、そのうち何百かが成功」
      なんて雑な攻撃はしないでしょう。

      おかしな形に切り取れば、どんな話も嘘くさくできます。

  • by Anonymous Coward on 2014年03月29日 9時28分 (#2571339)

    iTunesギフトコードもそうだったけど、Tポイントなどのロンダリングが容易なサービスは規制を強化するとか、それらへのポイント交換を中止した方がいいのでは。

  • by Anonymous Coward on 2014年03月29日 19時31分 (#2571639)

    使い始め規約読んでないんだが、Tポイントの使い方がよう分からんす。
    そういう人が多くないだろうか? ポイントの使用率が低いから、
    Tポイントうますぎ的な企業が多いのかも。

    でもでも、やりすぎるとポイント税とか課金されたりして...
    というか、むしろ「あの」税金なくして、変動性ポイント税とかにしてほしいかも。

    • by Anonymous Coward

      お前が何を問題にしてるのかがビタいち分からんす。

    • by Anonymous Coward

      yahooと連携してるので、ヤフオクで使いまくってますよ。
      楽天のポイントよりよほど使い勝手が良い。

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...