画像:弊社会員向けスマートフォンアプリでの不正ログインについて/不正アクセス/三井住友カード株式会社より
三井住友カード株式会社は2019年8月23日、同社が提供する会員向けスマートフォンアプリ「Vpassアプリ」が何者かのサイバー攻撃を受け、顧客ID最大16,756 件に不正侵入された明らかにしました。
同社によると、攻撃者の手口はパスワードリスト型攻撃。
多くのユーザーがパスワードの使いまわしを好む傾向を利用して、約500万回のアクセスを繰り返したと推定されています。
カード情報は流出せず
三井住友カード株式会社によると2019年8月19日、同社が定期的に実施しているモニタリング調査により、Vpassアプリに対する不正なアクセスが確認され、インシデントの可能性が浮上しました。
同社は緊急対応として、不審な接続元を遮断し通信をブロックし、不正アクセスが確認されたIDのパスワードの無効化措置を実施して対処。
その後、不正アクセスの原因を調査したところ、約500万回のログイン試行のうち大部分が同サービスに登録されていないものだった点から、「リスト型攻撃」と判断しています。
カード情報は流出せず
三井住友カード株式会社は、不正ログインに使用されたIDとパスワードだけでは、クレジットカード利用情報等の閲覧のみが可能な点から、カード情報の流出や不正利用は確認されていない、との立場を取っています。
ただし、
- 顧客の氏名
- カード名称
- カード利用金額
- 利用明細
- 利用可能額、
- ポイント残高等
などの情報は閲覧可能と説明。同社は今後も不正な通信を監視して、悪用が判明した場合は、ただちに対象カードの利用を停止し、顧客に報告するとしています。
