Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「mijicaカード」不正送金、被害者のいずれも不正ログイン被害か

ゆうちょ銀行は、デビットカード「mijicaカード」の会員サイトより、不正送金された被害者全員が、不正ログインの被害に遭っていた可能性があることを明らかにした。

同社は、8月8日から9月15日にかけて「mijica WEB」にある「mijicaカード」の会員間における送金機能「おくってmijica」が悪用され、あわせて54人のアカウントから332万2000円が、3件の「mijicaカード」へ不正に送金されたことを9月23日に公表しているが、その後の調査でこれら54人が、同社が10月4日に公表した「mijica WEB」の不正ログインされた可能性がある1422人に含まれていることが判明したもの。

「mijica WEB」より「おくってmijica」を利用して送金する場合、同サイトへログインすることに加えて、送金元となる「mijicaカード」の裏面に記載された17桁あるカードIDのうち、下5桁の情報を入力する必要がある。

「mijica WEB」に対するログインに関しては、パスワードの入力を複数回誤るとロックされるしくみだが、ひと度ログインしてしまうと、送金手続きに必要となる下5桁の番号については、入力回数について制限なく試行することが可能だった。

不正送金を行った犯人が、カードIDの下5桁を特定した方法について現時点では特定されていないが、こうした仕様が悪用された可能性もある。

(Security NEXT - 2020/10/05 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

口座利用者以外が「mijicaカード」を不正作成か - カード到着前に利用形跡
ゆうちょ銀、210件4940万円を補償 - 173件は本人や家族利用として対象外に
ゆうちょ銀「mijicaサイト」で不正ログインか - 一部で機械的な画面遷移
ゆうちょ銀、あらたに約60件220万円の被害申告
【不正チャージ問題】金融機関口座の取引履歴、「合算」表示に注意を
決済サービス連携で2017年7月以降380件約6000万円の被害申告 - ゆうちょ銀
なりすまし不正口座開設、写真なし証明書を悪用 - 筆跡が酷似
ゆうちょ銀「mijicaカード」で約332万円の不正送金被害 - 54人から不正カードに
連携決済サービスの出金被害、109件約1811万円 - ゆうちょ銀
SBI証券で偽口座宛に約1億円の不正出金 - PWリスト攻撃増加、警戒中に発覚