ローソンIDへの不正アクセスとdポイント・pontaの不正利用について(被害は被っていない)
リスト型アカウントハッキングとポイントの不正利用
※この件も、もはや過去の話となりつつありますが、当時の記載のまま記事は残しています。ものすごい熱量で色んなこと書いていますが、記事の最後にあるように、まさかこんな自分が「もうdポイント貯めるのはそこそこにして、pontaカードを持ち歩くか」なんてなことになるなんて。そんな自分にびっくりです。
先月あたりからリスト型アカウントハッキングやらポイントの不正利用やら騒がしいなと思ってましてこんな記事上げてました。
そしたら、思っていたより事が重大で、やれパスワード再設定しろだの、ポイントカード停止しただのと、急展開。
dポイントを安心してご利用いただくためのお願い
「急展開」などと書きましたが、impressの記事によると、8月下旬からすでに問題が発生し始めていたようです。
ドコモのリリースに「ローソンから会員番号が流出した」との記載は一切ありませんが、時を同じくして pontaでもポイントの不正利用が発生し、さらにローソンIDへの不正アクセスが発生していたことから、ローソンが元凶だと疑わざるを得ません。
今回の件リスト型アカウントハッキングが発生した「ローソン」、ポイントの不正利用が発生した「dポイント(ドコモ)」「ponta(三菱商事・ローソン・リクルート 他)」のうち、「ドコモ」以外からはまともなリリースが出ていません。
特に恐らく今回の問題の元凶になったと思われるローソンが 9月10日に「不正アクセスがあったので 全会員のパスワードをリセットした」というリリースをしているものの、まともな発表を何一つ行っていなことにかなりの不信感を抱いています。
pontaに至ってはポイントの不正利用についても何も語らず。
9月12日段階でパスワードの使い回しをするなという、今回のポイント不正利用の手口から考えると的外れなことしか言っていないことに、これまた不信感を抱いています。
Pontaサービスを安心してご利用いただくために
という訳で、これから書くことは推測の域を出ないのですが、ローソンからもpontaからもまともなリリースがない以上「やましいことがある」と判断して書きます。
時系列などの整理は、もっとブログを書くのが上手な人にまかせます。
自分自身はポイントの不正利用はされていませんが、ここ数日対応をどうすべきか考える羽目になって、ちょっとイライラしている自分を落ち着かせるために、ダラダラ書きます。
(追記)
ようやく、ローソンが関連性を正式に認めましたね。
とはいえ顧客に開示する情報としては全くもって不十分で不信感はぬぐえません。
このリリース9月14日付けになっていますけど、この記事を書いていた9月14日夜には、出てなかったような気がします。
このたび、9月13日にローソンIDサイトの不正アクセスにより、ローソンアプリを使ったdポイントの不正利用があったことが判明いたしました。そのため、ローソンアプリ内のdポイントカードの番号が表示されている「デジタルdポイントカードサービス」を一時停止させていただきます。
ツッコミどころ多すぎです
ドコモからの突き上げが厳しくて、とりあえずdポイントだけ対応した?
今回の犯行グループは、ローソンアプリではないアプリを使っていたとの情報もあるので、これが対策になるの?という疑問もあります。
とにかく情報が足りなさすぎて、評価にも値しない。
この記事は上記リリースが出る前に書き上げましたが、暫定的な対策がたった一つ行われただけなので。
特に書き換えることはせず一旦このままにします。
(追記おわり)
今回の問題は複数ある
今回の問題は単なる情報漏えいだけでないことが、事態をややこしくしているように思います。
(1)リスト型アカウントハッキングによる情報漏えい
(2)会員番号さえわかれば不正利用ができてしまうポイントシステムそのものの欠陥
先程ローソンに対して批判的なことを書きましたが
(1)についてローソンだけを責めるのは酷だなという面もあって
結局ユーザーがパスワードの使い回しをしていれば、システム側だけでリスト型アカウントハッキングを防ぐのは難しくなるからです。
とはいえ、二段階認証などの防衛手段が実装されていたわけでもなく
今回の件でも「どの程度の数のユーザー」の「どんな情報が漏洩した可能性があるのか」などが一切開示されていないので、不信感を募らせる原因の一つにもなっています。
そもそも自分の情報が漏洩したのかしてないのかも、不明な状態です。
(2)について
今回の不正利用では、何らかの方法で有効な会員番号を大量に入手した犯人が、アプリを使ってポイントの不正利用を行ったこと。
これはもうシステムそのものの欠陥であり、情報漏えいの問題よりもかなり根本的な問題なので、すぐに解決できるものではないでしょう。
dポイントやpontaは自社が原因の情報漏えいではないところが発端で不正利用が発生していることになり、対応も難しくなっているように思えます。
かといって、何もしなければ被害は拡大するばかりなので、ドコモは不正利用される可能性のあるカードを全て無効にするという強硬手段に出たと思われます。
ドコモの動きは早かった
前述したように、8月下旬頃からドコモに不正利用の問い合わせが続出し、9月10日には不正利用の可能性がある約3万5千枚ものカードを利用停止にしています。
私のカードも停止されましたが、停止した旨のメールが自分のところに届いたのは9月12日でした。
こちらも推測に過ぎませんが、ポイントの不正利用の被害は日々増える一方なのでなりふり構っていられなくなり、不正利用の可能性があるカード全てを停止するという強硬手段に出たのでしょう。
あるいはローソン側のまともな対応が期待できず、埒が明かないので「つべこべ言わずにローソンIDに紐付いているdポイント会員番号を全部洗い出して報告しろ」と要請してその情報がドコモに届いたのが9月10日だったのかもしれません。
以前、JTBの個人情報漏洩があったときも、問題の張本人であるJTBよりも間接的に影響を受けたドコモの方が対応が早かったように思います。
JTBの件は結果的に「情報漏えいの可能性があるが漏洩の事実は確認できない」という何だかよくわからないままの状態で調査が打ち切られ有耶無耶になってしまいましたが
JTB及びその関連会社が中身のないリリースしか出さない中、当事者ではないドコモのリリースの方がきちんとしているという有様でした。
ドコモの商売のやり方は正直気に入らないところは多いですし、自身を守るための反応が過剰でユーザーの利便性が無視されたりすることもありますが、ドコモが様々なサービスを展開しているうえに自身が大量の個人情報を保有している企業でもあるので、こういう問題が発生した時の対応は情報の出し方なども含めて他社よりも比較的まともな印象があります。
ローソンとpontaは何してんだ?
ローソンも9月10日にローソンID全会員のパスワードをリセットしています。
さて、ここからははネットの情報をつまみ食いした程度の推測ですが、リセットを行ったとされる9月10日14時よりも前に「ローソンからパスワード再設定のメールが来た」という情報を複数見かけました。
これはつまみ食いレベルの情報では『ローソンから』「不正アクセスされているからパスワードを変更して欲しい」というお願いが来たのか『攻撃者が』「パスワードの変更を試みたので再設定メールが届いた」のかが判別つきません。
もし前者であれば、不正アクセスが確認できたユーザーへメールを送付していたが、逐一お願いしててもキリがないので全会員のパスワードリセットに踏み切ったのかもしれません。
あるいは両方なのかもしれません。
ただ、全会員のパスワードリセットのメールが届いたときに、多くの人がフィッシング詐欺を疑っていたのには思わず苦笑しました。公式に送るメールにしては内容が稚拙だったと批判されても仕方ないですね。
実際今になってもまともなリリースが出ていないわけですし。
pontaに至っては不正利用の報告が大量に来ているはずなのに、一切その件に関するリリースをしないのはなぜなんでしょう?
状況はdポイントと変わらないのだから、ローソンIDに紐付いているカードは全て再発行くらいのことしないと駄目なんじゃないの?
直接文句を言ってくる顧客以外に対してはまともな対応する気はないのだろうなと正直もう見放しつつあります。
(後日追記)
pontaに関してはもうどうでも良くなっていたので、その後の動きに注目していなかったのですが。
「Pontaカード(公式)」アプリにおける「2段階認証」必須化について
というお知らせ?が出ていました。
一応今回の件の再発防止策になるはずですが、docomoのように不正利用の状況の報告や一時的な対策もせずに、忘れた頃にしれっとこんなお知らせだけ出されてもなぁ、という感想です。
(追記終わり)
これからどうしよう
ここからしばらく、単なる自分語りになりますがお許しください。
ローソンIDにpontaもdポイントも紐づけていた
私自身の被害としては
- ローソンIDのパスワードを強制リセットされた
- dカードプリペイドのdポイントカード機能を無効にされた ※クレジット(プリペイド)カード機能はiDも含めて有効
- dポイントもpontaもポイントの不正利用をされた気配はない
と実質的な被害は被っていません。
ただdポイントも数百ポイントしか保有しておらず、pontaに至っては0ポイントだったので、不正利用されてても気がついていないだけかもしれません。
しかし、自分はローソンIDの不正アクセスの被害にあっておらず、ポイントカードの会員番号も流出していないと想定しています。
あくまで楽観的な予測でしかないですが、とりあえずできるところから動くことにしました。
まずローソンID
ローソンIDについてはパスワード再設定のメールが届き、再設定を行ったのですが、何も考えずに強制リセット前と同じパスワードにしてしまったので、それでは意味がないことに気づき、慌ててパスワード変更をやり直しました
っていうか、リセット前と同じパスワードが設定可能なことがおかしくないですか?何のためにリセットしたの?
その時点ではdポイントカードを無効にされたことを知らなかったので、dポイントの情報だけが見られなくなっていたことを不思議に思っていました。
ただ、dポイントやpontaの紐付けをどうやって解除したらいいのかは未だにわかりません。
とはいうもののdポイントの方は今登録されている番号は無効になっているので、正直どうでもよくて。
pontaにしても、今後積極的にポイントを貯める気はないので、もうどうでもいいやと思い始めています。
スマホにインストールしていた、ローソンアプリはアンインストールしました。
この状況下で必要性を感じなくなったので。
こうなるとローソンIDとやらの登録を継続する意味がわからなくなりつつあります。
しかし、慌てて登録を解除すると今後何か動きがあったときに情報が来ない可能性があるので、しばらくは登録したまま、今後の動きを見ておくべきだと考えているのと。
ローソンチケットをたまに利用するので、すぐさま登録解除するのは思いとどまりました。
※初出時はこんなこと書いてましたが
ローソンチケットの利用に必要なのはローソンWEB会員の登録でした、紛らわしい。
数年前にローソンIDに統合するようなことが発表されてたような気がしますが、無期限延期になったまま放置されているようです。
dポイントはいろいろ動こう
dポイントについては利用停止という思い切ったことをしてくれたので、逆にこちらとしても対応の方針を決めやすくなりました。
ドコモ回線を保有しているわけではないのですが、pontaよりはマシという評価は変わらないのでdポイントは継続して利用することを決めました。
その利用停止のメールに
dポイントカードのご利用を再開される場合は、お手数をおかけいたしますが、新しいdポイントカードをドコモショップ、dポイント加盟店で入手していただき、登録をお願いいたします
という対応方法が記載されていました。
dポイントは1アカウントに複数枚(3枚?)カードの登録ができるので、このような案内ができたのかもしれません。
dカードやdカードプリペイドに搭載のdポイント機能も同様、との記載はあったのですが、それらをどうしたら良いのかという明確な案内はありませんでした。
ネットで情報をあさると、自分で再発行を申し込むことなりそうです。
ですが取り急ぎ、近所のローソンに出向いて、新しいdポイントカードをもらってきて、自分のdアカウントに登録してみました。
新しいカードはローソンIDには紐付けていません、今回の不正利用の手口は会員番号さえわかればパスワードなどは必要ないので、店舗に番号丸見えで置いてあるカードを使うのは危険だと言われそうです。
でもとりあえずは、ローソンに置いてあるようなカードでも問題ないと判断しています。
今回の手口はあくまで、「不正な方法で入手した『大量の有効な』会員番号」を使っているものと推測されます。
もちろん、コンビニに置いてあるカードの番号をこっそりメモしておいてその番号を使えば同じことはできます。
しかし、ポイントが利用可能になるには、そのカードを誰かが持ち帰って、アカウントに登録される必要があります。
不正利用を企むにしても、いつ持って帰られるかもわからないカードの番号をチマチマ控えて、それが登録されるのを待つ。なんて手間のかかることはしないと思われます。
実際もらってきたカードの台紙にはdポイント開始当初の2016年ごろのキャンペーンの告知が書いてあり。ローソンの店舗にある大量のdポイントカードの在庫はそこから全然減ってないのかな?と思いました。
となると、なおさら何年放置されっぱなしになるわからないカードの番号を1枚1枚メモっておいて、それを有効かどうか試すなんて面倒なことはしないでしょう。
もちろん根本的な問題である、「会員番号さえわかれば不正利用ができてしまう」という問題は回避できないので、ポイントの利用履歴をこまめに確認するくらいはしておいた方がいいかもしれません。
dカードプリペイドについては、クレジット機能は有効だがポイント機能は使えないという、なんだか中途半端な状態になってしまったので。
三井住友カード dカードプリペイドデスクとやらに電話して、カードの再発行しておこうかなと思っています。
電話かけるのが面倒ですが、コンビニでもらうカードは怖いというのなら、dカードプリペイドの再発行後にもらってきたカードの登録を削除すればいいと思っています。
ponta はどうしようかねぇ
pontaに至っては使える店が増えるような気配もなく。
この問題が発生する以前からdポイントや楽天ポイントなどと比較しても加盟店が目立って増えるわけでもなく「もうやる気ないんじゃないの?」って思っていて、いっそdポイントに吸収されろとさえ思っています。実現にはいろいろ縄張りの問題もありそうで、簡単な話ではなさそうですが
実際ローソン以外ではほぼ使っていなくてリクルートのサービスも競合他社と比べるとどれも中途半端でポイントが貯まるようなサービスは使ってません。
だったら、dポイントの方がまだマシと考えて、最近はローソンでもdポイントカードの方を使っていましたpontaの場合dポイントと違って1アカウントあたり1枚しか登録できなかったと思うので、コンビニで貰ってきたカードを追加登録するというようなことが簡単にはできません。
以前、pontaカードがボロボロになってしまい、再発行したことがあるのですがそのときにどうやったのか思い出せません。
確かPontaカスタマーセンターとやらに電話したような気がします。
自動音声案内でカード番号を入力して、再発行カードが届くのを待つか、自分で新しいカードを用意しておいて、オペレーターにつないでもらって登録変更を依頼するとかだっと思います
詳細はご自分で調べてください。
それにしてもいまどき電話って、ネットで完結できるようにしてよ。
それはさておき、今回の件pontaが何の情報も開示しておらず。
どうやって事態の収拾を図るのかが全くわからないので、下手にに動くと二度手間が発生したりしそうでちょっと躊躇しています。
ケチが付いたカードを持ち続けるくらいなら、再発行くらいはすぐ手配してもいいかなと思うのですが、今後もpontaを積極的に使う気がないので慌てることはないかなと迷っています。
(後日追記)
このときはこんなこと書いていましたが被害にあっていたわけでもないので、ponta の再発行もせず。
時が流れてポイントサービスを取り巻く環境もどんどん変わってしまい。今や dポイント、dカードの方の使用を抑えることにし、ローソンではpontaを提示するようになりました。
(追記終わり)
他のサービスだって危ない?
すでにいろんな方が指摘していますが、アプリでバーコードを表示するタイプのサービスは同様の危険性を孕んでいます。
もしかすると当面の間それらが使えなくなって、プラスチックカードを持ち歩く羽目になるかもしれません。
リスト型アカウントハッキングについては、今回に始まったことではなく今後も引き続き発生するでしょう。
これを書いている今も「smart waonでリスト型アカウントハッキング発生」との情報が聞こえてきます。
そういえば、登録はしたもののなんだか良くわからないと文句言ってましたそもそも何ができるサービスなんだっけ?
今となっては登録したことすら忘れてました。
しかも、こちらは
smart WAONウェブサイトにおいて、第三者による不正ログインが確認されました。そのため、smart WAONウェブサイトを一時的に閉鎖させていただき調査を進めております。再開時期につきましては、随時当ページでご案内させていただきます。
とこの記事を書いてる段階では閉鎖状態が続いているようで、自分は今の所不正利用されたとの知らせは届いていないし、waonが使えないとか困ったことには遭遇していないので、しばらく様子見です
これはもう今は問題がないところも含めてユーザー側も本格的にパスワード管理を見直す必要がありますね、なんだか良くわからない長文失礼しました。