MEDIA_ARTICLE

不正対策の仕事をしてるのに不正ログイン被害に遭った話

具体的な根拠までは書けませんが、国際情勢と国内の不正や犯罪には相関があるような気がしています。どこかの国・地域が経済的な困窮に陥った時、サイバー攻撃などによる利益が貴重な財源になりえるから、です。

具体的な根拠までは書けませんが、国際情勢と国内の不正や犯罪には相関があるような気がしています。どこかの国・地域が経済的な困窮に陥った時、サイバー攻撃などによる利益が貴重な財源になりえるから、です。

新型コロナウイルスの感染拡大の中でも、サイバー攻撃が増えたというニュースもありましたし、事実、当社サービスを使ってくださるEC各社からその様なご相談も多々ありました。

その色々な相談を受ける立場の自分がまさかやられる、とは思っていませんでした。


Amazonログイン通知は突然に

その日は午後にミーティングが3件、比較的バタバタと仕事をしていた金曜日でした。コロナの影響でテレワークとなったものの、WEB会議が続いてしまうとPCモニターの前に張り付けにされてしまいます。

夜9時頃だったか、ふと自分のプライベートのGmailを見てみると、Amazonからのメール。

「はて、何か注文してたかな?」とメールを開くと、そこにはAmazonアカウントへのログイン検出のメールでした。

概ねGoogle ChromeにログインIDとパスワードを記憶させています。わざわざ通知にあるようなデスクトップPCからFirefoxを使ってAmazonにログインすることはありません。

フィッシング詐欺のサイトへ誘導するメールか?とも思いましたが、メール送信元はしっかり

amazon.co.jp

と記載あり。なるほどこれはどこかでメールアドレスとパスワードがセットで漏れたな、と。


クレジットカード不正利用はない様子

ただし、クレジットカードの情報はマスキングされるので漏洩の心配はなく、不正利用される心配はありません。Amazonに関しては。不正購入するにも、不正購入したその商品がうちに届くのであれば意味がありません。

Amazonでは異なる配送先の住所を登録しようとすると、セキュリティ上、カード情報やセキュリティコードを再登録しなければいけません。これを知ってたので、パスワードを変えればいいや、と安心してゆっくり対応することができました。

自分の住所情報や氏名などが閲覧できてしまった可能性はありますが、それを使っても大した不正はできないので、しょうがないかと諦めました。

一番痛いのは、Amazonでの自分の過去の購入履歴・商品の閲覧履歴が見られてしまった可能性があること。この情報が漏洩するのが一番キツイ。


またまたログイン通知のメール受信

Amazon以外からも、お知らせメールが届きます。SIMカードを契約しモバイル通信を利用しているのですが、そこからのログイン通知。

その時間は間違いなく、日曜で出かけておりスマホも持ってませんでした。

これは自分でも悪かったなと思っていますが、Amazonで設定しているパスワードと同じものだったのです。

どこかで漏れたGmailとパスワードのセットで、色々な所でログインチャレンジをしている様子です。


今回のなりすましログインで閲覧された可能性のある情報は、、

  • 氏名
  • 住所   ←引越し前の住所でした
  • 生年月日
  • Email
  • 契約プラン :ファミリーシェアプラン
  • 申し込み日  :2015年05月27日

などなど。

ちょっと怖いなと思ったのは、 プラン変更が可能なこと、登録Email、パスワード変更ができてしまうこと。そのままパスワード変更されてしまうと、もうログインできなくなってしまうので、怖いというより面倒です。

おまけに、最大+80GBを追加する大容量オプションプランがあるのですが、これも知らぬ間に追加されていなくて良かったです。どんだけ働いても消化できません。

クレジットカードの情報は頑丈に守られていて、なりすましログインがあっても簡単には漏れません。これもWebサービス各社の努力の賜物かと思います。


また来たログイン通知

実は他にも、シェアサイクルのために持っているキャリア系サービスのログイン通知メールが来ていました。このアカウントは何か登録している情報があるわけではないので、何も考えることなくパスワード変更しました。

根本的には、自分がGmailとパスワードのセットで会員登録しているWebサービスがハッキングされ、情報漏洩したものと見て間違いないかと思います。

一般的にログインパスワードは暗号化やハッシュを用いるので、情報漏洩してもパスワードはただの暗号、意味をなさない形になります。

しかし今回の事例では、パスワードをそのまま会員データベースに登録していたのか、はたまた複合化されてしまったのかわかりませんが、ひと手間が足りなかったようです。

セキュリティの話に限らず、情報漏洩のリスクをゼロにすることはほぼ不可能です。

情報漏洩が起きても、クリティカルな情報は含まれない、などリスクを最小化することや、異常の検知や対応の体制をあらかじめ準備することにより被害は少なく抑えられます。

コロナ問題への政府や各国の対応プロセスは、リスクマネジメントの在り方を考えさせられる貴重な学習の機会でもありました。

今回、クレジットカードの情報が漏れ、どこかのカード加盟店にチャージバックが生じ、実損が生じる事態にまでは至りませんでしたが、どこで何が漏れているかもはやわからないのが実態です。

まず最初の一歩、各サービスでのパスワードの使い回しから見直していきたいと思います。


<無料> – 国内外のチャージバック関連レポート

期間限定でチャージバック関連レポートを無料でご提供しています。

日本・欧米諸国のチャージバックの実態、日本国内におけるクレジットカード不正利用の被害・トレンドやその対応策についてまとめたものです。

以下のバナーをクリックし、ダウンロードページよりご確認ください。

*本資料のダウンロードは予告なく終了となる場合があります。ご了承ください。

<PR> – アクルの不正検知・認証システムサービス

当社ではカード加盟店向けの不正検知・認証システムサービスを展開しています。

サービス詳細・導入事例は以下のページをご確認ください。

SHARE

チャージバック、不正対策、統計など、知見や対策を解説

決済に関するあらゆる課題を解決。 AKURU inc.へお問い合わせください。