piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

JALマイレージ 不正アクセス事案についてまとめてみた

2019年2月14日、JALが提供するマイレージサービスで他人のマイルを不正利用し、タブレット端末などをだまし取ったとして男が逮捕されました。マイルはPontaに交換されており、マイレージサイト(JMB)が不正アクセスを受けていたことに起因します。ここでは関連する情報をまとめます。

インシデントタイムライン

日時 出来事
2018年8月中旬 何者かによりJMBのサイトに不正アクセス発生。マイルがPontaへ交換される
その後 中国のサイトでPontaアカウントが販売され、男がこれを購入。
その後 日本航空が不正アクセスによるマイル盗用被害を警視庁へ相談。
2018年8月17日、18日 男がPontaを使って東京都福生市の家電量販店で商品を購入。
その後 男は購入した商品の一部を転売した可能性。
2019年1月24日 警視庁は中国籍の男を詐欺容疑で逮捕。
2019年2月14日まで 警視庁は中国籍の男を詐欺容疑で再逮捕。

概要

不正アクセスの手口をまとめると次の通り。(2/15PM更新)
f:id:piyokango:20190215111019p:plain

詐欺事案関連の情報

  • 中国籍の男 東京都小金井市 25歳を詐欺容疑で2019年2月14日までに逮捕。(2月14日発表)
  • 2019年1月24日に同様の手口でゲーム機を購入していたとして男は逮捕されていた。*1
  • 1月24日の逮捕は福生市家電量販店とは別の店舗での購入を対象としている。
  • 容疑は2018年8月17日、18日に福生市家電量販店で不正入手したポイントを用いてゲーム機、タブレット端末など3点をだましとった疑い。
  • 男は容疑を認めている。
  • 男は購入した商品の一部を転売していた模様。*2
  • 警視庁サイバー犯罪対策課が捜査を担当。

マイル不正移行したPontaアカウントの販売

  • 何者かによりJALマイルの一部がPontaポイントへ交換されていた。

Ponta特典 - JALマイレージバンク

  • 交換に必要なマイル数は3,000マイル以上必要。1マイル=0.5pontaで交換。

f:id:piyokango:20190215062811p:plain:w500(JALサイトより)

  • 逮捕された男はPontaアカウントを中国人向けWebサイトで正規に購入したと供述。
  • アカウントに充当されたポイントから3割引きされた金額で売買されていた模様。*3

判明している被害

詐欺容疑の合計金額 約11万9000円相当のPontaポイント
男が購入したもの iPad、Nintendo Switchなど3点
不正ログインされたJBMアカウント数 205名
Pontaへ不正移行されたJMBアカウント数 21名
Pontaへ不正移行されたJALマイル 約137万マイル
被害を受けたJMBアカウント数 16名
被害を受けたJALマイル 約116万円相当
  • 不正利用された被害金額は「今回の事案を含む」といった表現がされている。

JMBのサイトの状況

  • JMBアカウントのログインにはマイレージ番号(お得意様番号、数字7桁、または9桁)とパスワード(数字6桁)が用いられる。
  • JALは不正ログインに際して、パスワードの流出は否定している。
  • JALはJMBのサイトに対し大規模なリスト型攻撃を受けた事実は確認していない。*4
  • 2014年9月に発表した顧客管理システム不正アクセス事案との関連を警視庁が調査中。

piyolog.hatenadiary.jp

  • 2014年2月にリスト型攻撃を受け、約60名がAmazonギフトカードに交換されるなどの被害が出た。

www.jal.co.jp

更新履歴

  • 2019年2月15日 AM 新規作成
  • 2019年2月15日 AM 概要図を修正。(マイル数の誤り訂正、レイアウト見直し)
  • 2019年2月15日 PM 再逮捕であることを追記。概要図、転売と表記した箇所を修正。(転売行為を断定的に記載していたため)