パスワードリスト攻撃による不正ログイン、カード不正利用確認(イオン銀行、イオンクレジットサービス) | ScanNetSecurity
2020.07.13(月)

パスワードリスト攻撃による不正ログイン、カード不正利用確認(イオン銀行、イオンクレジットサービス)

株式会社イオン銀行とイオンクレジットサービス株式会社は6月13日、イオンマークのカード会員向けインターネットサービスの「暮らしのマネーサイト」とスマホアプリ「イオンウォレット」にて「なりすまし」による不正ログインが発生したことが判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 4 枚 拡大写真
株式会社イオン銀行とイオンクレジットサービス株式会社は6月13日、イオンマークのカード会員向けインターネットサービスの「暮らしのマネーサイト」とスマホアプリ「イオンウォレット」にて「なりすまし」による不正ログインが発生したことが判明したと発表した。

これは2019年5月28日から6月3日までの期間に、外部で不正に取得したと推測されるIDとパスワードを使った「なりすまし」が行われ、1,917名のカード会員が不正ログインされた可能性があり、そのうち一部のカード会員は不正ログイン後に登録電話番号が改ざんされ、スマートフォン決済アプリへの登録・認証に使用され、カードが不正利用されたことが確認されたというもの。

不正閲覧された可能性のある個人情報は、カード会員の氏名(姓名・フリガナ・ローマ字)、住所、電話番号、生年月日、性別、勤務先・年収、メールアドレスと、クレジットカード情報の請求金額・利用明細、利用可能枠、支払い口座情報の一部、カード情報の一部(カード番号の下4桁)、「暮らしのマネーサイト」にイオン銀行口座を登録しているカード会員は口座番号上4ケタ、預金種別、預金残高、支店名、契約者ID上5ケタ。またカードが不正利用された会員は708名で、その金額の合計は22,044,816円。

なお被害状況については現時点で判明しているもので、今後の調査の進捗により対象件数は変動する可能性がある。

同社では不正ログインが発覚して以降、不正ログインの通信元を特定しアクセスを遮断、その他のアクセスについても監視を強化し、不正ログインが確認されたカード会員のIDは使用できないようにした上で別途会員へ連絡、カード利用状況をモニタリングし不正利用を早期発見、防止する体制を整えるとともに、会員情報の改ざんを防ぐために会員サイトの情報変更メニューを一時的に閉鎖した。

同社では会員に対し不正ログイン防止のために、他のサービスで利用しているID・パスワードの不使用、定期的なパスワードの更新、第三者が容易に推測できるID・パスワードを使用せずに変更することを呼びかけている。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. なぜハードディスクは消えたのか、これからもまた消えるのか

    なぜハードディスクは消えたのか、これからもまた消えるのか

  2. 情報漏えいにつながる危険な PDF 利用 - Microsoft Word 網掛け機能誤解、情報公開し注意喚起(大船渡市)

    情報漏えいにつながる危険な PDF 利用 - Microsoft Word 網掛け機能誤解、情報公開し注意喚起(大船渡市)

  3. 「サイバー空間でも逃さない」令和2年度サイバー犯罪捜査官、採用選考受付8月3日から(大阪府警察)

    「サイバー空間でも逃さない」令和2年度サイバー犯罪捜査官、採用選考受付8月3日から(大阪府警察)

  4. 石川県と兵庫県の一部エリアで電話・FAXの誤着信が発生(NTT西日本)

    石川県と兵庫県の一部エリアで電話・FAXの誤着信が発生(NTT西日本)

  5. 汚染された Tor ブラウザ、狙われるダークウェブ利用者

    汚染された Tor ブラウザ、狙われるダークウェブ利用者

  6. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  7. 新たにBYOD端末からの不正アクセスが判明(NTT Com)

    新たにBYOD端末からの不正アクセスが判明(NTT Com)

  8. 最新の状況に刷新「TLS暗号設定ガイドライン」など公開(NICT、IPA)

    最新の状況に刷新「TLS暗号設定ガイドライン」など公開(NICT、IPA)

  9. 複数のBIG-IP製品に、攻撃の踏み台にされるなどの脆弱性(JPCERT/CC)

    複数のBIG-IP製品に、攻撃の踏み台にされるなどの脆弱性(JPCERT/CC)

  10. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

ランキングをもっと見る