画像：弊社会員向けスマートフォンアプリでの不正ログインについて/不正アクセス/三井住友カード株式会社より

三井住友カード株式会社は2019年8月23日、同社が提供する会員向けスマートフォンアプリ「Vpassアプリ」が何者かのサイバー攻撃を受け、顧客ID最大16,756 件に不正侵入された明らかにしました。

同社によると、攻撃者の手口はパスワードリスト型攻撃。

多くのユーザーがパスワードの使いまわしを好む傾向を利用して、約500万回のアクセスを繰り返したと推定されています。

カード情報は流出せず

三井住友カード株式会社によると2019年8月19日、同社が定期的に実施しているモニタリング調査により、Vpassアプリに対する不正なアクセスが確認され、インシデントの可能性が浮上しました。

同社は緊急対応として、不審な接続元を遮断し通信をブロックし、不正アクセスが確認されたIDのパスワードの無効化措置を実施して対処。

その後、不正アクセスの原因を調査したところ、約500万回のログイン試行のうち大部分が同サービスに登録されていないものだった点から、「リスト型攻撃」と判断しています。

パスワードリスト攻撃とは？被害の原因と対策方法

2018.2.28

パスワードリスト攻撃とは、攻撃者がどこかで入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃です。ネットユーザーの大半が複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法で、この攻撃

カード情報は流出せず

三井住友カード株式会社は、不正ログインに使用されたIDとパスワードだけでは、クレジットカード利用情報等の閲覧のみが可能な点から、カード情報の流出や不正利用は確認されていない、との立場を取っています。

ただし、

• 顧客の氏名
• カード名称
• カード利用金額
• 利用明細
• 利用可能額、
• ポイント残高等

などの情報は閲覧可能と説明。同社は今後も不正な通信を監視して、悪用が判明した場合は、ただちに対象カードの利用を停止し、顧客に報告するとしています。

参照弊社会員向けスマートフォンアプリでの不正ログインについて/不正アクセス/三井住友カード株式会社