piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

リスト型攻撃を通じたイオンカードの不正利用についてまとめてみた

不正ログイン クレジットカード

2019年6月13日、イオン銀行、イオンクレジットサービスは同社のサービスに対してリスト型攻撃による不正ログインが行われ、登録情報の変更などを通じてクレジットカードの不正利用が発生したと発表しました。ここでは関連する情報をまとめます。

公式発表

  • 2019年6月13日発表

www.aeon.co.jp

被害の状況

イオンのクレジットサービスにおいて、不正ログイン(個人情報の盗み見)とカードの不正利用が発生した。

不正ログインされた会員数 1,917件
不正ログインの発生期間 2019年5月28日~6月3日(7日間)
不正利用されたカード会員数 708件
カード不正利用被害総額 22,044,816円
  • 警視庁へ被害相談済み。
  • 2019年5月31日にイオンは不正ログインの注意喚起を行っていた。

www.aeon.co.jp

盗み見られた可能性のある情報

不正ログイン後に第三者が以下の情報を盗み見た可能性がある。

  • 氏名(姓名、フリガナ、ローマ字読み)
  • 住所
  • 電話番号
  • 生年月日
  • 性別
  • 勤務先
  • 年収
  • メールアドレス

カード利用者は次の情報が対象に含まれる。

  • 請求金額
  • 利用明細
  • 利用可能枠
  • 支払い口座情報の一部
  • クレジットカード番号下4桁(セキュリティコードは対象外)

イオン銀行登録者は次の情報が対象に含まれる。

  • 口座番号上4桁
  • 預金種別
  • 預金残高
  • 支店名
  • 契約者ID上5桁

カード不正利用の手口(推測含む)

f:id:piyokango:20190614155945p:plain

  1. イオンのカード決済サービスにリスト型攻撃で不正ログイン。
  2. 電話番号を自分のものに変更。
  3. イオンウォレット(カード会社のアプリ)を通じてApplePayの登録。
  4. サービス上で確認した生年月日を入力。
  5. Apple PayのSMS認証は変更した自分あてに届くためそのまま登録。
  6. Apple Payが利用可能となり不正利用。
  • 公式発表や報道では「スマートフォン決済アプリ」との記載であるため、Apple Payを用いた手口かは確定ではない。
イオンウォレット経由のApple Pay登録の流れ

f:id:piyokango:20190614155701p:plain
f:id:piyokango:20190614155757p:plain

  • イオンウォレットログイン時は二段階認証は行われない。
  • 「暮らしのマネーサイト」では二段階認証が設定できるが、これを有効にしていてもアプリでは二段階認証は行われない。
  • ログイン後、生年月日の入力が必要。
  • 端末などの条件次第でSMS認証が行われる。

以下条件が揃う場合に同様の被害を受ける恐れがある。

  • カード会社のアプリ認証時に二段階認証等ID、パスワード以外の認証が行われない。(あるいは設定が任意)
  • カード会社のサービス上で登録する電話番号が任意に変更できる。
  • Apple Pay登録時にアプリ上で確認できない情報(セキュリティコード等)の入力が求められない。

他社カードアプリの状況(6月14日調査)

  • 他社カードアプリでログイン後にApple Pay登録が可能かを調査した。*1
  • いくつかのアプリではログインさえ出来ればそのままApplePayの登録が可能な模様。
  • アプリログイン時の対策(二段階認証など)は未確認。
カード会社 カードアプリ経由のApplePay登録 登録時必要情報
JCBカード 対応(MyJCB) 無し
JFRカード 対応(JFRカード App) 無し
ジャックスカード 対応(JACCSカードアプリ) 無し(とのユーザー報告)
アメリカンエキスプレスカード 対応(アメックスアプリ) ・セキュリティコード
三井住友カード 対応(Vpassアプリ) ・電話番号
au Wallet (プリペイド) 対応(au WALLET アプリ) 無し
dCARD 対応(dカードアプリ) ・カード暗証番号
ドコモ回線認証あり(2019.03.29より)
ソフトバンクカード 対応(ソフトバンクカード アプリ) ・カード番号下4桁
セディナ 対応(セディナアプリ) ・生年月日
・カード有効期限
・口座番号下4桁
楽天カード 対応(楽天カードアプリ) ・セキュリティコード
・ワンタイムパスワード認証あり
ニコスカード
MUFGカード
DCカード		 Walletアプリのみ
ビューカード Walletアプリのみ
オリコカード Walletアプリのみ
セゾンカード
UCカード		 Walletアプリのみ
ライフカード Walletアプリのみ
ポケットカード Walletアプリのみ
エポスカード Wallteアプリのみ
アプラスカード Walletアプリのみ
ミライノカード Walletアプリのみ

更新履歴

  • 2019年6月14日 PM 新規作成

*1:価格コムでApple Pay対応となっているものから抽出