「レイクALSA」会員専用サービスに不正ログイン、フィッシングサイトで個人情報を窃取 | ScanNetSecurity
2024.04.25(木)

「レイクALSA」会員専用サービスに不正ログイン、フィッシングサイトで個人情報を窃取

新生フィナンシャル株式会社は3月5日、同社の「レイクALSA」会員専用サービスにて悪意ある第三者からの不正ログインが判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 5 枚 拡大写真
新生フィナンシャル株式会社は3月5日、同社の「レイクALSA」会員専用サービスにて悪意ある第三者からの不正ログインが判明したと発表した。

これは2020年11月に、レイクALSAの利用者から身に覚えのない借入れ取引があるといった複数の連絡があり、同社にて取引状況を確認したところ、利用者以外とみられる人物によるレイクALSA公式スマホアプリを利用したスマホATMによる不正出金やPay-easyを利用した不正なWEB返済が確認されたというもの。

同社の内部調査によると、一部の不正ログインについては不特定多数の顧客に「レイクALSA」や「宅配業者の不在通知」等を装ったSMSやメールを送付し、「レイクALSA」公式Webサイトに似せたフィッシングサイトに誘導し、住所、氏名、カード番号、会員番号や暗証番号などの重要情報を入力させ、個人情報を窃取するフィッシング詐欺によるものと確認できているという。

不正ログインされた顧客数は計36名で、うちフィッシング詐欺の手口によるものが16名、手口が特定できていないものが20名で、閲覧された可能性のある項目は氏名、会員番号、契約番号、カード番号、生年月日、自宅登録情報(自宅住所、自宅電話番号、電話名義人、居住形態、居住開始年月、家賃・住宅ローン、同居人数)、勤務先登録情報(勤務先名、勤務先住所、勤務先電話番号、勤務形態、保険証の種類、所属部署、役職、入社年月、従業員数、業種、職種、給料日、ボーナス月、月収、年収)、携帯電話番号、Eメールアドレス、振込先金融機関口座、取引履歴情報、借入残高、支払情報(支払期日、請求金額)。

不正取引被害のあった顧客数は23名で、うちスマホATMによる不正出金が21名、Pay-easyによる不正なWEB返済が7名(5名は不正出金と重複)。

同社では不正取引の被害者に対し個別に連絡を行い、被害額を補償する手続きを進めている。

同社では本件について、監督官庁に報告し、所轄の警察署へ報告及び相談を行っている。

同社では顧客に対し、会員ページにログインして取引内容等の確認とパスワードの変更を依頼するとともに、レイクALSAを装った詐欺に注意を呼びかけている。

同社では2020年12月8日よりPay-easyによるWEB返済サービスを、12月23日よりスマホATMでの出金取引を停止しており、今後はより一層のセキュリティ強化と安全性の確保に努めるとのこと。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  6. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  7. 情報処理学会、高等学校情報科の全教科書の用語リスト公開

    情報処理学会、高等学校情報科の全教科書の用語リスト公開

  8. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  9. 国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

    国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

  10. LINE client for iOS にサーバ証明書の検証不備の脆弱性

    LINE client for iOS にサーバ証明書の検証不備の脆弱性

ランキングをもっと見る