ダイナースからのメールでビビッタ! クレジットカード利用画面に侵入されたときの用心

2013年12月9日

さきほどCITIBANKからこんなのが来まして・・・

【重要:ダイナースクラブとシティカードの会員様へ】
オンラインサービスのパスワードを今すぐご変更ください

平素より弊社発行のクレジットカードをご愛顧賜り、厚く御礼申しあげます。

弊社が実行しているセキュリティモニタリングにおいて、2013年11月9日から11月19日の間、通常より多くのアクセスを検知し、一部第三者による不正と思われるアクセスが確認されました。このため、現在、上記期間中に「シティカード オンライン」のアクセス履歴(※)のあるお客様のサービスのご利用を、一時的に制限をさせていただいております。※アクセス履歴の有無は弊社の調査によるものです。

1

でもってパスワードを変更しようとしたらそもそもログインできなくなってる。ダイナースとCITIBANKカードは同じ会社で同じシステムなんだが、どうもアタックを受けたのは3ヶ月前に解約した(CITICARDは3Dセキュアではないので別のVISAを作った)CITIBANK VISAらしい。これの影響でアカウント自体が消失しており、ダイナースを新規登録して解決しました。ちなみにCITIBANKカードは自分で設定したIDとパスワードでのログインでメールアドレスがIDではない。

メールだけでは「プルートフォースのアタックだけ受けたのか」「実際に利用者画面に侵入されたのか」がよくわからないので、サポートに電話していろいろ聞いた。CITIBANKの対応は丁寧ではきはきしていてなかなかよろしかったです。

◎CITIBANKではカードナンバーが末尾4桁しか表示されないので、侵入されてもカード番号が抜かれることはない
◎もし入られても、ポイントを他に付け替えるとかくらいしかやることはない

という説明で一瞬ほっとしかかったのであるが、ちょっと待てと思った。

カードの管理画面に入られたらどうなるか

仮に利用者画面に侵入されてカードの利用記録を見られたらどうなるか

1 どこのネットショップで買い物したかわかる
2 メールアドレスは個人情報画面でわかる
3 侵入されたんだからパスワードはわかっている

→ 購入しているモールやショッピングサイトに「メールアドレス」と取得した「パスワード」を当てはめていく

というやり方で、仮に他のサイトで同じパスワードを使っていたら速攻で侵入されてしまうわけです。で、まずはメルアドを変更して飛ばないようにしてから届け先の住所(不法滞在とかの外国人のアパートみたいな)を入れて換金しやすいものを買ってそこに送らせ、換金させて逃げる。楽天のようにカード情報を預かるタイプだとこれが可能です。
※ただしAmazonは送り先を変更したりするとカードの再入力を求められるのでこの犯罪は不可能。

年末のお買い物の前にお読みください。ネットショッピングで大変なことにならないための鉄則3

そんなわけで、パスワードはサイトごとに変えた方がいいのだ。とはいえ全部が違うパスワードというのも重いので数種類を使い分けている人が大部分ではないかと思う。カード会社から見たらそこの利用者画面に入られただけでは実損はないのはわかるが、現実にはそうじゃない。で、「実際に侵入されたのか」「アタックだけなのか」をしつこく問いただしたら、別のセクションに回されました。

結果としてアタック(たぶんパスワードを変えて次々と当てはめてくるプルートフォース)だけで侵入されてはいないということで安心したのだが、カードの支払い明細や控えを安易に捨ててもいけないのです。カード会社のサポートもそれほど詳しい方々でもないので、「先の先まで」気を回してはくれない。もし仮に利用者画面に入られていたら、いままで買い物をしたサイトのパスワードは全部変えるくらいの対応はしたほうがよろしいです。

ショッピングサイト、ネットバンク、クレカのサイトのパスワードは絶対別のにしておこう!!

そんなわけでいまから月曜恒例のメルマガ書きます。来年1月より水曜発行になります。月曜発行だと週初めが重すぎるんだもん。

↓これいいんだが、落としたらどうなるんだろう・・と思ったら、マスターパスワードを入れないと起動しないらしい。専用のアプリでPCからコピペができるっていうので買おうとして事前にキングジムのサイトで見たらMac非対応でした・・・なんとかしてよ〜

  • 0
    このエントリーをはてなブックマークに追加
  • 0
    follow us in feedly
PAGE TOP