8月から9月にかけて、計3回 mijicaカードの送金機能の不正利用が行なわれた。
2020年10月3日夜 ゆうちょ銀行がmijica Webを停止し、不正ログイン被害を発表。
その他、EC、公営競技、証券会社、ノンバンク各社についても問題は見当たらなかった。
ゆうちょ銀行を巡っては、NTTドコモの「ドコモ口座」をはじめとした各種決済サービスとの連携の悪用により、すでに2000万円を超える不正引き出しの被害が確認されている。
不正利用者はIDとパスワードに加え、カード番号についても何らかの方法で入手していた。
また、残り2社のうち、1社は現在評価中で、残り1社は回答を協議中という。
セキュリティ総点検タスクフォースにより、22項目中14項目が未実施、または不十分であることが確認された。
今後、サイバーセキュリティ体制の総点検や本人確認の厳格化などを行う。
どのような方法で、この5桁の認証を突破したのか?詳細が判明するのは捜査の進展を待つことになりそうだ。
人材系ベンチャーのLAPRASが、11月にオフィスを縮小移転した。
私も以前に日銀ネットは融通が利かないとコメントしたこともある。
mijicaのデビットカード、プリペイドカードの機能を他サービスへ移管、継続利用を可とする方針。
本人確認で二要素認証を導入していないサービスでは、新規口座の連携と各口座へのチャージを停止している。
検証で指摘された「不正に入手した口座情報を利用したmijicaカードの作成・利用の可能性」について、カードの申込日からユーザーの手元に届くまでの間に利用があったカードを調査したところ、不正が疑われる事例が見つかったという。
点検事項は、本人認証にかかる検知・防御態勢、取引データに基づく不正取引の検証態勢の2項目。
お支払い方法を聞かれた場合は、「Visaで1回払い」とお伝えください。
不正アクセスの可能性がある1,422件は、「mijicaWEBへのログインが成功している履歴のうち、画面遷移が異常に早く、機械的操作が考えられる履歴を抽出したもの」としている。
不正ログインは今回調査されたログにおいて、4つの期間(合計19日間)で確認された。