【スタバ】スターバックスでクレジットカード不正利用:二要素認証なしとカード追加が弱点に

1 :靄々 ★:2019/10/25(金) 21:45:07.58 ID:0qa6qjzw9.net
スターバックスでクレジットカード不正利用:二要素認証なしとカード追加が弱点に

スターバックスでクレジットカードの不正利用事件が起きました。会員サイトに不正ログインされ、登録されていたクレジットカードからお金をチャージされ店頭でコーヒー豆などを買われた被害です。事実関係と不正利用の原因をまとめます。

5件・約18万円被害だが住所・氏名・電話番号が閲覧された可能性あり
スターバックスの会員サービス「My Starbucks」に不正ログインがあり、登録されていたクレジットカードが不正利用されたことが10月24日に発表されました。スターバックスジャパン広報への電話取材を元に、事実関係をまとめておきます。

●スターバックス・クレジットカード不正利用の経緯(10月25日13時の電話取材)
・10月16日に最初の不正利用(17日に利用者からの問い合わせでスターバックス側が把握)

・被害が確認できたのは10月16日から18日にかけての3日間

・5アカウントが5店舗で不正利用された

・購入されたものはコーヒー豆・タンブラー・マグカップなど。換金されやすい商品が主に買われていた

・会員サイト「My Starbucks」に不正ログインがあり、登録されていたクレジットカードからスターバックスカードにチャージが行われて店頭で使われた

・その他に十数件の不正ログインの疑いがある(クレジットカードの不正利用はないが不正にログインされた可能性のある件数)

・情報流出の形跡は把握していないが「住所・氏名・電話番号」が閲覧された可能性はある。クレジットカード番号は一部を除きマスクされているため閲覧されていない

報道では「情報が外部に流出した形跡はない」とされていますが、筆者が実際にスターバックスの会員サイトにアクセスしたところ、住所・氏名・電話番号はマスクなしで表示されていることを確認しました。

犯人はID・パスワードで不正ログインできていますから、住所・氏名・電話番号が見られる状態にあったわけです。広報によれば「流出の形跡はないが閲覧された可能性はある」とのことで、住所・氏名・電話番号が犯人に知られた可能性があります。

犯人の手口は「パスワードリスト型攻撃」か
被害としては小規模ですが、クレジットカードからの不正チャージが行われたのは深刻な問題と言えるでしょう。

手口は「パスワードリスト型攻撃」だと思われます。過去に他で漏れているメールアドレス・パスワードがリストとして出回っており、犯人はそれを入手してスターバックス会員サイトで試し偶然あたったものを不正利用するという流れです。

パスワードリスト型攻撃はここ数年大きな被害を出しており、クレジットカード・航空会社・家電量販店・携帯電話会社・オンラインゲーム・SNSなどで繰り返し被害が出ています。セブンイレブンの7Pay不正利用事件でも、会社側はパスワードリスト型攻撃ではないかと発表しています(参考:7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点)。

パスワードリスト型攻撃の原因は、ユーザーの「パスワード使い回し」です。パスワードを覚えられないからと同じパスワードを複数の場所で使い回してしまう結果、このような不正ログインの被害に遭ってしまうのです。私たちはパスワードを一つ一つ別のものにしなくてはなりません。

ただしこれだけパスワードリスト型攻撃が多発すると、企業側の防衛策も必要です。スターバックスの会員サイトの状況をまとめておきます。

二要素認証がなかった
スターバックス会員サイトとスターバックスカードのしくみをまとめたのが下の図です。

※以下略。 全文はソースからご覧ください
https://news.yahoo.co.jp/byline/mikamiyoh/20191025-00148279/
10/25(金) 13:30

2 :名無しさん@1周年:2019/10/25(金) 21:48:21.15 ID:l3m7p+F00

7pay笑ってる場合じゃないな

3 :名無しさん@1周年:2019/10/25(金) 21:48:35.26 ID:tS5WDQbZ0

>>1

パンスト朝鮮顔を整形しまくったネトエラ(ネット工作の在日朝鮮人)が わきまくってるしな。

日本に密入国してきて図々しく居つき、
生活保護を受給しながら凶悪レイプ犯罪を繰り返し、
日本人になりすましネット工作を続ける在日朝鮮人。

チョンポップの人気偽装を繰り返してるのもこいつら在日朝鮮人・帰化人。スパイそのものだよ。

朝鮮戦争が終わり「特別永住許可」も終了しており、
帰化人を含めて在日朝鮮人たち全員を強制送還 するしかない。

●●● ネトウヨ連呼厨(ネトエラ)の正体 ●●●
http://karutosouka2.tripod.com/uyokusyoutai.htm
.

4 :名無しさん@1周年:2019/10/25(金) 21:50:58.02 ID:wHD8Zrhh0

ここじゃビザデビッドカードの登録を認めないんだよな。生意気にも。だからリスクが拡大した

5 :名無しさん@1周年:2019/10/25(金) 21:56:51.41 ID:tKrlDOmE0

近所に店ができたとき登録しようかなあと思ったけど
クレカからのチャージ式なんでやめた
女こどもを相手にしてるスイーツ屋のセキュリティなんて信用ならんからね

6 :名無しさん@1周年:2019/10/25(金) 22:06:12.82 ID:+zBRzt3N0

スタバックスてカード使えるんか??!

7 :名無しさん@1周年:2019/10/25(金) 22:07:03.09 ID:Uy1fp/Ue0

二要素認証が正確に理解できる人がこのスレにどれだけいるのか

8 :名無しさん@1周年:2019/10/25(金) 22:07:29.60 ID:u5ZR50kB0

>二要素認証とはID・パスワードの他に、二つ目の要素で本人確認するしくみです。
>二つ目の要素としては、SMS(ショートメール)でスマホ端末の所有を確認するなどのしくみが一般的です。
>クレジットカードを登録できる重要なサービスなので、二要素認証を導入するべきだった

アホーとしか言いようが無いな

9 :名無しさん@1周年:2019/10/25(金) 22:12:37 ID:mEKPJM0b0

パスワードを1つ1つ別の物に?
無理に決まってんだろ

10 :名無しさん@1周年:2019/10/25(金) 22:19:02 ID:YtR/A6kG0

コーヒー一杯ごとき黙って千円札一枚出す方が手っ取り早いのに

11 :名無しさん@1周年:2019/10/25(金) 22:22:35.96 ID:nofwLLzj0

サイトごとにパスワード変えるの常識やろ
パスワード管理ソフトも知らないのか

12 :名無しさん@1周年:2019/10/25(金) 22:29:30 ID:ZGZAHcMv0

いまだに店頭でクレカや電子マネーが使えない。
ふざけんな

13 :名無しさん@1周年:2019/10/25(金) 22:30:50 ID:IOQRogva0

本当の問題はシステム会社ごとに、認証システムを作ってるからだぞ
外部のサービスを使って認証する仕組みもあるが
その連携部分で失敗したのが7payだからな

14 :名無しさん@1周年:2019/10/25(金) 22:31:51.65 ID:45f6wu5a0

もうiD使えない店はめんどくさいから行かないようにしてる

15 :名無しさん@1周年:2019/10/25(金) 22:38:38.71 ID:j1n7YJ500

5件で18万とか1会計の額がスタバにしてはかなり高額だな

16 :名無しさん@1周年:2019/10/25(金) 22:41:30.41 ID:FkuFCzNh0

>>6
スタバカードにクレカでチャージ出来るしクレカ使える店舗もあるよ

17 :名無しさん@1周年:2019/10/25(金) 22:43:43.89 ID:gDjvQU5c0

ハッキングはハッカーという犯罪者がいた時代ももう昔の話になるんじゃね?
AIにハッキングさせるインテリ犯罪者が現れたらどうすんの?
もう、インターネットに信頼のおける時代は終わってるだろ。

18 :名無しさん@1周年:2019/10/25(金) 22:44:26.40 ID:1SzS1End0

クレジットチャージ
銀行オートチャージは
ヤバいことが分かった。

それやれば高ポイント還元してもらえるメリットがあるが、
それ以上に不正利用されるリスクの方が恐ろしい(>_<)

19 :名無しさん@1周年:2019/10/25(金) 22:50:31.63 ID:5UxmYMqA0

>>10
あーこれこれ
普通にクレカ持ってるけど近所のパン屋とか未だに全部小銭
面倒なくていい

アマゾンとか通販ならともかくその他の身近なものまでクレカとかかえってめんどいわ

20 :名無しさん@1周年:2019/10/25(金) 22:50:59.61 ID:tB/trY8h0

で、元のパスワードはどこのサイトから漏れてるんだ?

21 :名無しさん@1周年:2019/10/25(金) 22:59:57.17 ID:fUdKRojZ0

>>10
小銭が邪魔だろ

22 :名無しさん@1周年:2019/10/26(土) 01:19:36.00 ID:W3/CXJif0

小銭の処分はセミセルフレジが便利
何も考えずに手持ちの小銭を全部投入したら
最小枚数に両替してくれる

23 :名無しさん@1周年:2019/10/26(土) 06:30:57 ID:Yt6GGSvX0

また中国人か

24 :名無しさん@1周年:2019/10/26(土) 07:36:44.94 ID:gRPPldbL0

こういうのは防犯カメラあるだろ
公開すればいいやん

25 :名無しさん@1周年:2019/10/26(土) 12:32:20.40 ID:JTVVHOXV0

最近になって初めて言葉覚えた子供のように二要素認証連合してるのが笑えるわ
非対応のサイトなんて山ほどあるのに今更すぎる

26 :名無しさん@1周年:2019/10/26(土) 16:16:37.63 ID:otbRwBL20

二要素認証っていいながら、
二要素認証になってないやつもあるからな

27 :名無しさん@1周年:2019/10/27(日) 00:10:36 ID:/9gCeml90

こんなショボイ店でやるとは。

28 :名無しさん@1周年:2019/10/27(日) 10:39:45 ID:iUloPTE40

>>1
何回読んでもわからんな。
カード番号が流出してないのになんでそのクレカでチャージ出来るの?

29 :名無しさん@1周年:2019/10/27(日) 15:02:02.98 ID:fsHV9azv0

パスワード変更してくれってメール来たけどさ
なにがどう盗まれたのか情報欲しい

まさか鯖側で暗号化せずに生テキストで保存してたのか?

30 :名無しさん@1周年:2019/10/27(日) 15:05:33.67 ID:EgO8Z5wu0

新作
from:スターバックス 
subject:パスワードにアカウント今すぐ!変更
ここでクリック!

が追加されるわけか

31 :名無しさん@1周年:2019/10/27(日) 15:08:30.31 ID:V/QmDDbg0

いわゆるセキュリティ基礎の教科書にのってるパスワードリスト攻撃きたーw

33件をまとめました。
最新情報はこちら


ゲーゲー速報
やったぜ!速報
まじまじ速報