Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「mijicaカード」不正送金、被害者のいずれも不正ログイン被害か

ゆうちょ銀行は、デビットカード「mijicaカード」の会員サイトより、不正送金された被害者全員が、不正ログインの被害に遭っていた可能性があることを明らかにした。

同社は、8月8日から9月15日にかけて「mijica WEB」にある「mijicaカード」の会員間における送金機能「おくってmijica」が悪用され、あわせて54人のアカウントから332万2000円が、3件の「mijicaカード」へ不正に送金されたことを9月23日に公表しているが、その後の調査でこれら54人が、同社が10月4日に公表した「mijica WEB」の不正ログインされた可能性がある1422人に含まれていることが判明したもの。

「mijica WEB」より「おくってmijica」を利用して送金する場合、同サイトへログインすることに加えて、送金元となる「mijicaカード」の裏面に記載された17桁あるカードIDのうち、下5桁の情報を入力する必要がある。

「mijica WEB」に対するログインに関しては、パスワードの入力を複数回誤るとロックされるしくみだが、ひと度ログインしてしまうと、送金手続きに必要となる下5桁の番号については、入力回数について制限なく試行することが可能だった。

不正送金を行った犯人が、カードIDの下5桁を特定した方法について現時点では特定されていないが、こうした仕様が悪用された可能性もある。

(Security NEXT - 2020/10/05 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

暗号資産交換業者への不正送金対策を強化 - 金融庁ら
「口座が凍結されました」 - ゆうちょ銀装うフィッシングに注意
顧客情報含む書類約3200件が所在不明 - 大阪府内の郵便局
「ゆうちょ銀」装うフィッシングに注意 - 20種類以上の件名バリエーション
ゆうちょ銀装うフィッシング攻撃 - 24時間以内のアクセス求める
4郵便局で顧客情報含む書類の紛失が判明 - 日本郵便
口座利用者以外が「mijicaカード」を不正作成か - カード到着前に利用形跡
ゆうちょ銀、210件4940万円を補償 - 173件は本人や家族利用として対象外に
ゆうちょ銀「mijicaサイト」で不正ログインか - 一部で機械的な画面遷移
ゆうちょ銀、あらたに約60件220万円の被害申告