スターバックスでクレジットカード不正利用:二要素認証なしとカード追加が弱点に
スターバックスでクレジットカードの不正利用事件が起きました。会員サイトに不正ログインされ、登録されていたクレジットカードからお金をチャージされ店頭でコーヒー豆などを買われた被害です。事実関係と不正利用の原因をまとめます。
5件・約18万円被害だが住所・氏名・電話番号が閲覧された可能性あり
スターバックスの会員サービス「My Starbucks」に不正ログインがあり、登録されていたクレジットカードが不正利用されたことが10月24日に発表されました。スターバックスジャパン広報への電話取材を元に、事実関係をまとめておきます。
●スターバックス・クレジットカード不正利用の経緯(10月25日13時の電話取材)
・10月16日に最初の不正利用(17日に利用者からの問い合わせでスターバックス側が把握)
・被害が確認できたのは10月16日から18日にかけての3日間
・5アカウントが5店舗で不正利用された
・購入されたものはコーヒー豆・タンブラー・マグカップなど。換金されやすい商品が主に買われていた
・会員サイト「My Starbucks」に不正ログインがあり、登録されていたクレジットカードからスターバックスカードにチャージが行われて店頭で使われた
・その他に十数件の不正ログインの疑いがある(クレジットカードの不正利用はないが不正にログインされた可能性のある件数)
・情報流出の形跡は把握していないが「住所・氏名・電話番号」が閲覧された可能性はある。クレジットカード番号は一部を除きマスクされているため閲覧されていない
報道では「情報が外部に流出した形跡はない」とされていますが、筆者が実際にスターバックスの会員サイトにアクセスしたところ、住所・氏名・電話番号はマスクなしで表示されていることを確認しました。
犯人はID・パスワードで不正ログインできていますから、住所・氏名・電話番号が見られる状態にあったわけです。広報によれば「流出の形跡はないが閲覧された可能性はある」とのことで、住所・氏名・電話番号が犯人に知られた可能性があります。
犯人の手口は「パスワードリスト型攻撃」か
被害としては小規模ですが、クレジットカードからの不正チャージが行われたのは深刻な問題と言えるでしょう。
手口は「パスワードリスト型攻撃」だと思われます。過去に他で漏れているメールアドレス・パスワードがリストとして出回っており、犯人はそれを入手してスターバックス会員サイトで試し偶然あたったものを不正利用するという流れです。
パスワードリスト型攻撃はここ数年大きな被害を出しており、クレジットカード・航空会社・家電量販店・携帯電話会社・オンラインゲーム・SNSなどで繰り返し被害が出ています。セブンイレブンの7Pay不正利用事件でも、会社側はパスワードリスト型攻撃ではないかと発表しています(参考:7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点)。
パスワードリスト型攻撃の原因は、ユーザーの「パスワード使い回し」です。パスワードを覚えられないからと同じパスワードを複数の場所で使い回してしまう結果、このような不正ログインの被害に遭ってしまうのです。私たちはパスワードを一つ一つ別のものにしなくてはなりません。
ただしこれだけパスワードリスト型攻撃が多発すると、企業側の防衛策も必要です。スターバックスの会員サイトの状況をまとめておきます。
二要素認証がなかった
スターバックス会員サイトとスターバックスカードのしくみをまとめたのが下の図です。
※以下略。 全文はソースからご覧ください
https://news.yahoo.co.jp/byline/mikamiyoh/20191025-00148279/
10/25(金) 13:30
スターバックスでクレジットカードの不正利用事件が起きました。会員サイトに不正ログインされ、登録されていたクレジットカードからお金をチャージされ店頭でコーヒー豆などを買われた被害です。事実関係と不正利用の原因をまとめます。
5件・約18万円被害だが住所・氏名・電話番号が閲覧された可能性あり
スターバックスの会員サービス「My Starbucks」に不正ログインがあり、登録されていたクレジットカードが不正利用されたことが10月24日に発表されました。スターバックスジャパン広報への電話取材を元に、事実関係をまとめておきます。
●スターバックス・クレジットカード不正利用の経緯(10月25日13時の電話取材)
・10月16日に最初の不正利用(17日に利用者からの問い合わせでスターバックス側が把握)
・被害が確認できたのは10月16日から18日にかけての3日間
・5アカウントが5店舗で不正利用された
・購入されたものはコーヒー豆・タンブラー・マグカップなど。換金されやすい商品が主に買われていた
・会員サイト「My Starbucks」に不正ログインがあり、登録されていたクレジットカードからスターバックスカードにチャージが行われて店頭で使われた
・その他に十数件の不正ログインの疑いがある(クレジットカードの不正利用はないが不正にログインされた可能性のある件数)
・情報流出の形跡は把握していないが「住所・氏名・電話番号」が閲覧された可能性はある。クレジットカード番号は一部を除きマスクされているため閲覧されていない
報道では「情報が外部に流出した形跡はない」とされていますが、筆者が実際にスターバックスの会員サイトにアクセスしたところ、住所・氏名・電話番号はマスクなしで表示されていることを確認しました。
犯人はID・パスワードで不正ログインできていますから、住所・氏名・電話番号が見られる状態にあったわけです。広報によれば「流出の形跡はないが閲覧された可能性はある」とのことで、住所・氏名・電話番号が犯人に知られた可能性があります。
犯人の手口は「パスワードリスト型攻撃」か
被害としては小規模ですが、クレジットカードからの不正チャージが行われたのは深刻な問題と言えるでしょう。
手口は「パスワードリスト型攻撃」だと思われます。過去に他で漏れているメールアドレス・パスワードがリストとして出回っており、犯人はそれを入手してスターバックス会員サイトで試し偶然あたったものを不正利用するという流れです。
パスワードリスト型攻撃はここ数年大きな被害を出しており、クレジットカード・航空会社・家電量販店・携帯電話会社・オンラインゲーム・SNSなどで繰り返し被害が出ています。セブンイレブンの7Pay不正利用事件でも、会社側はパスワードリスト型攻撃ではないかと発表しています(参考:7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点)。
パスワードリスト型攻撃の原因は、ユーザーの「パスワード使い回し」です。パスワードを覚えられないからと同じパスワードを複数の場所で使い回してしまう結果、このような不正ログインの被害に遭ってしまうのです。私たちはパスワードを一つ一つ別のものにしなくてはなりません。
ただしこれだけパスワードリスト型攻撃が多発すると、企業側の防衛策も必要です。スターバックスの会員サイトの状況をまとめておきます。
二要素認証がなかった
スターバックス会員サイトとスターバックスカードのしくみをまとめたのが下の図です。
※以下略。 全文はソースからご覧ください
https://news.yahoo.co.jp/byline/mikamiyoh/20191025-00148279/
10/25(金) 13:30
