WAONポイントを狙った不正アクセス、攻撃者は外部漏洩情報を悪用か



画像:WAON公式ウェブサイトより

イオンマーケティング株式会社は2018年9月15日、同社が提供する「smartWAON ウェブサイト」にて第三者による不審なアクセスが行われたことを発表しました。

同社によると、不正ログインによりユーザーの意図に反して別のカードへのポイント移動される被害が発生したとのこと。被害者は合計40名にのぼり、同社はポイント復元と注意喚起を促しています。

リスト型攻撃による不正アクセス

イオンマーケティング株式会社は今回の事案について、リスト型攻撃による不正アクセスとの見方を示しています。

通常イオンのような大企業は強固なセキュリティで守られており、容易に侵入できるものではありません。

しかしリスト型攻撃ではセキュリティ体制の脆弱な別のサイトなどから流出したパスワードリストを用いるため、攻撃者にとって技術的ハードルが低く・効率の良い攻撃手段です。

中小企業にもセキュリティ強化を

サービスユーザーのうち一定割合は、あらゆるサイトに共通のID・パスワードを設定する傾向にあります。これはパスワード管理の煩雑さを考慮すると、当然の事象だと言えるでしょう。

攻撃者にとって情報源となるパスワードリストは、既に多くの闇サイトで流通しています。しかし大企業に比べてセキュリティ的に脆弱な中小企業が狙われるリスクも高く、情報管理体制の強化・維持が求められています。

参照「smartWAON ウェブサイト」 不正アクセスによるポイント移行について /イオンマーケティング株式会社