三井住友カードのアプリに約500万回の不正ログイン試行、最大1万6,756件に被害の可能性



画像:三井住友カード株式会社より

大手クレジットカード会社の三井住友カード株式会社は2019年8月23日、同社がクレジットカード会員向けに提供する「Vpass」アプリに対する、パスワードリスト型攻撃と思われる不正アクセスを確認したと明らかにしました。

攻撃は同社が2019年8月19日に実施したモニタリング調査により発見され、500万回もの不正なログイン試行を確認。16,756 件ものIDに不正ログインの可能性が生じたと説明しています。

ただし、同アプリはIDとパスワードのみではカード決済などはできず、不正利用被害は確認されていないとのこと。いっぽうで、氏名や利用履歴など、個人情報を閲覧された可能性があるとしています。

インシデント後のセキュリティ対策

三井住友カード株式会社はインシデント確認後、緊急措置として、アクセス元のIPを遮断したうえで、不正ログインを受けたIDのパスワード無効化処置を取りました。

影響を受けたユーザーには同社から個別に連絡して、対応する方針。また、同社は今後も継続的に不正使用検知システムを利用して、流出の防止に努める考えを示しています。

不正にログインされた可能性のあるID数 不正ログイン試行総数 対象の情報内訳
16,756件 約500万件 氏名、カード名称、カード利用金額、利用明細、利用可能額、ポイント残高等

参照弊社会員向けスマートフォンアプリでの不正ログインについて/三井住友カード株式会社