2019年8月23日三井住友カード株式会社は自社の会員向けのスマートフォンサービス「三井住友カードVpassアプリ」に不正ログインがあったことを発表しました。
不正ログインされた可能性のあるID数は16,756 件、不正ログインした犯人に見られた可能性のある情報は、「お客さまの氏名、カード名称、カードご利用金額、ご利用明細、ご利用可能額、ポイント残高等」とのことで、カード番号はマスキングされているので見られていないようです。
この不正ログインは、リスト型攻撃という手法で行われました。
リスト型攻撃というのは、犯人がリスト化したIDとパスワードを利用して会員制Webサイトなどに不正ログインを試みる攻撃です。犯人がどこでIDとパスワードのリストを入手するかというとセキュリティの緩い会員制Webサイトを攻撃して、そのWebサイトのIDとパスワードのリストを入手します。複数のWebサイトで同じID・パスワードの組み合わせを使いまわす人が多いので、他のWebサイトでそのリストのIDとパスワードを使ってログインを試すとログインできてしまうことが結構あるのです。
総当たり攻撃や辞書攻撃などと比べるとかなり率がいいですね。
率がいいということはログインの試行回数が少なくなるので、攻撃を受けた方は、攻撃されたことに気が付きにくく、対策が遅くなります。
なぜリスト型攻撃だったことが分かるかというと、そのWebサイトに登録されていないIDでのログインが普通では考えられないくらい多く試されているからです。普通はパスワードを間違えることはあってもIDを間違えることはそんなにないので、登録されていないIDでのログイン試行が多いことがリスト型攻撃の特徴となります。
このリスト型攻撃は、他所で取得したIDとパスワードが利用されるので、自社のサイトをいくら強化しても防ぎにくいという非常にやっかいな攻撃です。利用者側の協力がないと防ぎにくいということです。では、利用者はどのような対策を行えばよいのでしょうか。パスワードを複数のサイトで使いまわさない、二段階認証を実施しているサイトであれば二段階認証を利用する、というのが対策となります。
三井住友カードが運営するサイト“ヒトトキ”でリスト型攻撃への対策が分かりやすく説明されています。新しい記事ですので、自社が被害を受けてから書かれたのかも知れません。
https://www.smbc-card.com/mem/hitotoki/learn/fraud_login_heads_up.jsp