piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

モバイルTカードの不正利用についてまとめてみた

2019年7月31日、カルチュア・コンビニエンス・クラブはTSUTAYAアプリのモバイルTカードが第三者に不正利用される被害が発生しているとして、利用履歴の確認やパスワードの取り扱いについて注意喚起を発表しました。Twitter上にはモバイルTカードを利用する際にログインが求められるYahoo!Japanのセキュリティ機能を設定していたにも関わらず被害を受けたとの報告もあります。ここでは関連する情報をまとめます。

不正利用に関連する発表・注意喚起

被害の状況

CCCが把握した2019年7月30日時点の被害状況は以下の通り。

被害金額 Tポイント 340万ポイント(340万円相当)
被害者数 87人

不正利用の手口

  • TSUTAYAアプリを通じてモバイルTカードが不正利用された
  • ファミリーマートでの不正利用の報告がある。*1
  • 被害を受けた方によれば電子タバコ(IQOS)が購入されている模様。
  • 不正利用に関してファミリーマートは「ファミペイは無関係」と報告。
  • CCCはシステム上で不正利用の見極めが困難であると報道。
  • 発端は2019年7月27日に利用者より問合せを受けたことによる。*2
モバイルTカード利用までのステップ
  • アプリからポイント利用のバーコードを表示するために以下のステップが必要。
  1. 対応アプリでYahoo!Japanにログイン
  2. Tカード会員番号、生年月日(登録済)のものを入力
    f:id:piyokango:20190805020130p:plain
    (モバイルTカード登録時に表示される入力画面)
被害を受けた方の報告

前回に続いて被害を受けたことやYahoo!Japanの認証で利用可能なセキュリティ機能が有効であったとの報告がある。*3 *4 *5

  • 前回被害を受けた後にパスワードは変更していた。
  • ワンタイムパスワードを使用していた。
  • シークレットIDを使っていた。
  • ログイン履歴に不審な痕跡はなかった。

CCC側の対応

  • 不正利用が確認されたIDの停止。
  • 必要に応じ、モバイルTカード利用時にTカード自体の提示も求める。
  • 被害が確認された場合、ポイントは全額補填する方針。
  • 利用履歴の確認やパスワード変更を呼び掛け

2018年末の不正利用時の様相

f36type.cocolog-nifty.com

  • 2018年末に起きた不正利用事案もワンタイムパスワードなどを設定していた利用者が被害を受けていたとみられる。
  • 前回はTカード番号が既に把握された状態で、それを使いYahoo!Japanの本人確認が突破される手口。
  • 2018年11月15日以降はTカード番号での本人確認は出来なくなっている。

更新履歴

  • 2019年8月5日 AM 新規作成

*1:川崎、石神井などの報告がある

*2:「Tポイント」不正利用 アプリでなりすまし、CCC「パスワード変更を」,日本経済新聞,2019年8月1日

*3:

*4:

*5: