三井住友カードのスマホアプリ「Vpass」で不正ログイン、1.6万件被害

 
三井住友カードは23日、同社のスマートフォン向け会員アプリ「三井住友カードVpassアプリ」（Vpassアプリ）において、第三者による不正ログインがあったことを発表しました。被害件数は1万6,756件で、不正ログインによるクレジットカード番号の漏洩、クレジットカードの悪用被害は確認していないとしています。

不正ログイン総施行回数は約500万件、悪用被害はなし

同社では、不審なカード利用状況等がないかをチェックするため、不正使用検知システムによる24時間モニタリングを定常的に行っています。同社によれば、このモニタリングにより8月19日に不正なログインを探知し、不正ログインと特定したアクセスを遮断、不正ログインされたIDのパスワード無効化などの緊急対応を実施しました。
 
その後の調査で、不正ログインに使用されたIDやパスワードには同社に登録されていないものが多数含まれていることから、第三者が他社サービスなどから入手した可能性があるIDやパスワードを使って不正アクセスを試みる”リスト型攻撃”による被害だったとしています。
 
22日時点での被害状況は、不正ログインの総試行回数約500万件のうち、不正にログインされた可能性があるIDが1万6,756件で、ユーザーの氏名やカード名称、利用金額、利用明細、利用可能額、ポイント残高などが閲覧できる状態でした。IDとパスワードだけではカードの利用情報が閲覧のみできる状態で取引はできず、またクレジットカード番号についても一部伏せられているため、同社はクレジットカード番号を特定されることはないとの見解です。
 
一部のユーザーについてはクレジットカードの利用明細などが閲覧された可能性があることから、同社は今後の不正な閲覧防止のため、不正ログインの被害にあったユーザーのパスワード無効化とともに、個別に連絡してIDおよびパスワードの変更を呼びかけています。

不正ログイン被害ユーザーはログイン停止後に再度新規登録

三井住友カードは19日の不正アクセス探知後、不正アクセスがあったことを公表したのは23日付けのプレスリリースですが、Vpassログインページでのお知らせにて21日に、不正なログイン等が疑われる場合についての注意喚起のページを公開していました。不正ログインが確認されたユーザーについては、ログイン停止後にVpassへの新規登録を案内しているとのことです。
 

弊社では、お客さまに会員向けインターネットサービス「Vpass」（以下Vpass）を安全にご利用いただくために、不正なログイン等が疑われる場合については、Vpassへのログインを停止するなどの対策を行っております。
 
Vpassへのログインを停止した場合は、該当のお客さまに対して、Vpassへの新規登録のお願いをさせていただいております。ご不便・お手数をおかけいたしますが、ご理解の程よろしくお願いいたします。
 
なお、弊社では、大切なお客さまを不正使用からお守りするため、不正使用検知システム（24時間365日）によりカード利用状況等のモニタリングを実施しております。

 
Vpassを利用している方は個別の連絡がきていないかメール等を確認し、ログイン可能かを確認することを推奨します。被害がなかった場合でも、念の為パスワードを変更するなど不正ログインへの対策をしておきましょう。
 
 
Source:三井住友カード
Photo:三井住友カード
(asm)