三井住友カードは8月23日、会員向けスマートフォンアプリ「三井住友カードVpassアプリ」において、第三者による不正ログインが発覚したと発表した。なお、クレジットカード番号の漏えいと悪用被害は確認されていないという。
同社では、8月19日にVpassアプリへの不正ログインを検知。緊急措置として、不正ログインと特定したアクセスを遮断し、ログインされたIDのパスワード無効化を実施。調査の結果、不正ログインに使用されたID、パスワードの大半が三井住友カードに登録されていないことから、リスト型攻撃と判断したという。なお、同社からID、パスワードが流出した痕跡はないとしている。
リスト型攻撃は、第三者が他社のサービスなどから不正に入手したIDやパスワードを使用して不正アクセスを試みる手法で、ユーザーが複数のサービスで同じIDやパスワードを使い回している場合、不正ログインされる可能性が高まる。このため、サービスごとに異なるパスワードを設定するなどの対策がユーザーに求められている。
不正ログインされた可能性のあるID数は1万6756件。不正ログイン試行総数は約500万件におよんだという。今回の不正ログインでは、クレジットカードの利用情報の閲覧のみが可能であり、決済はできないという。閲覧された可能性があるのは、氏名、カード名称、カード利用金額、利用明細、利用可能額、ポイント残高のみ。クレジットカード番号はマスキングされており、特定は不可能のようだ。
不正ログインされたアカウントのユーザーに対しては、パスワードの無効化とともに、個別に連絡した上でID、パスワードの変更を呼びかけるとしている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?