ポイントシステムの不正利用とその対策は?

f:id:PentaSecurity:20180927132420j:plain

 

ポイントシステムの不正利用とその対策は?

 

昨今は様々なポイントシステムが台頭し、小売店、飲食店、家電量販店などで買い物したりサービスを利用したりすればポイントがたまっていくシステムになっています。よく聞くものとしては「Tポイント」「Ponta」「nanaco」「楽天ポイント」「ワオン」などが有名です。クレジットカードで買い物すればポイントが付加されていくシステムも日常でよく使えています。

 

こうしたポイントシステムの導入は、ロイヤリティマーケティングの1つである「ポイントサービス」を支える重要なシステムであり、集客とリピーターを狙って大手販売店から中小の小売店まで幅広く採用されています。貯まったポイントはサービスの利用や商品の購入に充てることができるため、貨幣と同等の価値を持っていると言えます。これらのポイントはクラウド上のサーバーで管理されているため、自分の電子資産であるポイントを管理する企業に預けている状態と言えます。

今回は、このポイントシステムの安全性について、解説したいと思います。

 

 

「dポイント」番号流出事件

 

最近NTTのポイントシステム「dポイント」の不正利用のニュースが世間でも騒がれました。

 

 

NTTドコモは2018年9月12日、共通ポイントサービス「dポイント」で不正利用が発生していたことを明らかにした。8月25日以降、相次ぎ発生し、これまで約300件の申告があった。被害の拡大を防ぐため、9月10日に約3万5000件のdポイントカード番号の利用停止措置を実施した。

 

引用:ドコモ「dポイント」で不正利用 悪用の容易さ指摘

 

 

NTTによると、原因は同社のdポイント加盟店の1つが不正アクセスを受け、顧客のdポイントカード番号とポイント残高を盗まれたそうです。この加盟店のサイトから漏れてしまったアカウントが不正利用されたため、このサイトに登録されていた約3万5000件のアカウントの利用停止措置を決めたそうです。

 

バーコード方式を採用したdポイントカードは元々仕組み的に不正利用されやすいという指摘を受けていました。dポイントカード番号さえ分かってしまえば、アプリを通じて簡単に悪用できてしまうのです。そこでNTTはdアカウントのアプリでもdポイントカード番号を非表示にするなどのセキュリティ対策を行ってきましたが、結局はポイントを管理するサーバーに不正アクセスされる事であっさりとdポイントカード番号が流出してしまいました。NTTは今回の件については対策を行ったと言うものの、全般的な流出防止についてはまだ具体的な方法を示唆していません。dポイントカード番号が悪用される危険性は残ったままで、ユーザー自身が自分の番号が不正に悪用されていないかメッセージ等に注意を払う必要性があるとのことです。

 

 

楽天」「ビックカメラ」ポイント流出事件

 

最近報道された「dポイント」以外にもこれまでに楽天市場で有名な楽天スーパーポイントや家電量販店ビックカメラのポイントなども不正に利用され、ニュースになっています。

 

 

楽天で不正利用されたのは「楽天スーパーポイント」など。男らは何らかの方法で他人のIDやパスワードを入手し、楽天の会員サイトに不正アクセス。手元のカードでポイントを使えるように登録し、商品を購入していた。ビックカメラでは、スマートフォン用のアプリから他人のIDで不正にログイン後、店頭で商品を購入。ポイントで支払えるバーコード画面を示していた。

 

引用:楽天ポイント不正利用 中国籍3人を詐欺容疑で逮捕

 

 

ここで注目したいのは、「何らかの方法で他人のIDやパスワードを入手」したら、誰でも簡単にそのポイントを使って不正利用が行える点です。dポイントも加盟店のサイトからIDやパスワードといったアカウントが流出したことにより、ポイントが不正利用されています。

 

 

東京ガス株式会社「myTO K Y O G A S」ポイント流出事件
 

2017年9月、東京ガスはウェブサイトの不正ログインとポイントの流出があったと発表しました。106件の不正ログインと、24件のポイント(3万8000円相当)が、不正利用が発覚しています。myTOKYOGASで貯めたポイントはワオンやnanacoといった電子マネーの他、Ponta楽天スーパーポイント、Tポイントなどの共通ポイントにも換算可能です。東京ガスは今回の原因として「リスト攻撃」が考えられると公式に発表しています。

 

 

弊社は、本年9月20日に、4件のお客さまから勝手にパスワードが変更された旨の連絡があったため、ただちに調査したところ、9月11日以降、「リスト型攻撃」と見られる方法により、お申し出のあった4件を含む合計106件のお客さまのアカウントについて不正なアクセスの疑いが確認され、氏名、ガス・電気の請求予定金額、保有ポイント数の情報が閲覧された恐れのあることが判明しました。

 

引用:東京ガス公式サイト(ガス・電気料金情報WEB照会サービス「myTOKYOGAS」への不正アクセスによるお客さま情報の流出ならびにポイントの不正使用について)

 

 

 

リスト攻撃とは?

 

東京ガスが原因とみているリスト攻撃は、パスワードリスト攻撃ともいわれますが、攻撃者がどこかで入手したIDやパスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃です。実は、先に紹介した事例のように、多くのポイント不正利用がこのパスワードリスト攻撃によって起こっているとみられています。

 

 

〇狙われる使い回しパスワード

 

パスワードリスト攻撃の元となるID・パスワードが例えばAというウェブサイトから流出したとします。Aが流出に気が付いて直ぐに対策を取ればAのサイトでの不正アクセス・不正利用の被害はそれ以上生じません。しかし、ユーザーの一定数はA以外のBやCといったサイトやサービスで同じIDやパスワードを使いまわしています。パスワードリスト攻撃では過去に流出したID・パスワードのリストを再利用して行われているのです。そのため、一度流出してしまうと時間差で別のサイトも狙われてしまい被害が発生するケースが後を断ちません。

 

〇求められる企業側の対策

 

一番確実なのはユーザー側がパスワードの使いまわしはしない事でしょう。しかし今はインターネット社会ですから、多くのサイトにアカウントを登録しているユーザーも多くいます。サイト毎にパスワードを全部変えるのは管理が煩雑になってしまうため、パスワードの使いまわしがどうしても起こります。ポイントの不正利用対策をユーザーだけに求めるのは、ポイントシステムを運用する企業として少し無責任に思われます。

 

企業がサイト側でこうしたパスワードリスト攻撃を阻止するのに有効な手段のひとつに、例えばWAF(Web Application Firewall)の導入があります。WAFは短時間に同一IPからのログイン試行をチェックして失敗回数が頻発すると通信を遮断するなど対策を取ります。他にも二段階認証によるログイン方法など、少しでもサイバー攻撃を回避できるような対策が存在します。

 

サイバー攻撃によって顧客の情報流出、ポイントの不正利用等が発生すると、やはり企業側も責任を取らされ、信用も著しく損ないます。パスワードリスト攻撃といった古典的な攻撃が今も無くならず、被害が出続けている現状の中、企業側もWEBセキュリティ対策を検討していく必要があります。

 

 

f:id:PentaSecurity:20171023110654p:plain