ringoさん
VIEW
『Dポイントカード』番号の規則が簡単で偽造して不正利用できるカードだった? 対策方法は?
ドコモがDポイントカードの利用を停止
NTTドコモは、買い物などに利用できるポイントサービス、「dポイント」が第三者に勝手に使われる被害が相次いでいるとして、不正に利用される可能性があるおよそ3万5000人のポイントの利用を停止しました。
被害があったのは、NTTドコモの「dポイント」で、携帯電話の料金の支払いなどに応じて付与されるほか、幅広い店舗でためたり、買い物の支払いに利用したりすることができます。
会社によりますと、先月末に「身に覚えがない利用がある」という問い合わせがあり、調べたところdポイントの加盟店のウェブサイトに不正なアクセスが見つかったということです。
NTTドコモは、買い物などに利用できるポイントサービス、「dポイント」が第三者に勝手に使われる被害が相次いでいるとして、不正に利用される可…
山本一郎氏がDポイントの問題を指摘
ひと月ほど前にNTTドコモのオンラインショップで不正ログイン事件が起きそのことが比較的大きく報道されることがありました。
ドコモ側ではセキュリティ強化策としてdアカウントユーザーに対して2段階認証の利用を推奨するという形でその場は事態を収拾することにしたようです。
これで収まれば話は終わるところですが、しかしながら、その後もドコモユーザーの間ではdポイントが不正に利用されているのではないかという報告が個人ブログやSNSなどで継続しておりました。
NTTドコモが手がけるポイントサービス「dポイント」で、仕組みを悪用した偽造が大々的に展開しているようで、騒ぎが広がっています。dポイントのサービス停止まで行ってしまう危険性すらもあります。
dポイントが加盟店で不正利用される被害が多発
dポイント盗まれたわ……。docomoで現在、原因究明中。2、3日前から急増しているようだから、もしポイント持ってるなら使用できないよう停止をお勧めする。 https://t.co/6CQq3WN9Jc
帰宅った~。
せっかく貯めたdポイントが不正に利用された。調べてもらうけどもう帰ってこないかな。けっこう貯めてたのに。気持ち悪いな。
警察署に出向く。署の担当者は、dポイント利用端末、dポイント利用履歴、アカウント利用履歴を写真に収めて行く。プロバイダ、回線、Wi-Fi環境をヒアリング。どうやら私のアカウントは米国からアクセスを複数回されていた。t.co/oswUttDtrDで確認できる。#dポイント
ポイントカードの偽造は、バーコード自動生成アプリを利用
#dポイント #不正利用 で、防犯カメラの画像から、使用したアプリ判明です。(スマホの画面を見た感じの予想)
— あんず姫 (@anzu_1222) 2018年9月8日
私もやってみたら、難しいことは何も無く、ポイント使用できました。#docomo
App名: Stocardhttps://t.co/OlrJxdQLSF
こちらのアプリは、あくまで自分のポイントカードをスマホに集約させる健全なアプリであり、「偽造」そのものを行うアプリではありません。
偽造グループは、なんらかの方法でバーコードの番号を生成し、こういったアプリでバーコードを生成、利用していると思われます。
バーコード系のポイントカードは、使用時にIDとパスワードといった概念がないため、バーコード=クレジットカードの番号のような感じで、バーコード自体が盗まれたり偽造されてしまうと、本来のユーザーのポイントを勝手に利用できてしまいます。
通常は、他人に番号がばれなければコピーされないのですが、たかだか15桁の数字 総当たりでも簡単に生成できます
@docomo_cs
dポイントカードの利用停止メールが届きました。いまポイントが2000ポイントあるのですが、ポイントも使えなくなるのですか?
ウルトラデータLパックでいただいた期間限定ポイントなので、使いたいのです。 https://t.co/sGHDxiv4fq
@docomo_cs 数字の並びに規則性のあるdポイントカードなのだから、新たに入手しても同じことがおきるのではないですか?
コンビニに置かれてるdポイントカードの番号眺めてたら一部が連番、一部が規則性ありそーな感じだった。(他から見たら不審者)
@Ciele 今朝RTしたがdポイントカードのバーコードは自由に生成できるうえにどういうパターンかも推測しやすいのでバーコードを偽造したじゃね?ってハナシらしい。
@Hamham_Fenrir それ不正アクセスされたと言われてるサイトだけ閉じてもダメじゃん…
@Ciele 店舗のバーコードリーダーにかざしてdポイントでお支払い、を止めない限りダメなので…。
@KPL_ dアカウント自体への攻撃は成功していなくても、dポイントカードの番号が入手(あるいは推測)できれば、そこからバーコードを生成する攻撃が有効な可能性があるので、後者じゃないかなぁ…と思います。
他のポイントカードでも同様の問題?
dポイント固有の問題?ポンタはdと同様。一見バーコードじゃないTポイントも番号抜かれたらオシマイで、バーコード表示もアプリでするようになって物理不要に。 / ドコモ「dポイント」偽造の懸念を巡る不正行為の気になる話(山本一郎) - Y!ニュース t.co/FUQUcm2ZnK
"任意の会員番号を簡単に偽造してそのまま会員情報にアクセスしたりポイントを盗み取ったりできる"?それが出てくるのレンタルと紐ついた加盟店カードのほうでは…(実際事案があったのはゲオ)。
引用してるブログ記事のstocard紹介でビビったのがnanacoあること。こっちの方が深刻。TポイントはTマネー、クレジットと紐付いてるのあるしね。ちなみにポンタ、dポイントはカード裏に7桁のコードがあるので、それも打ち込まないと利用は出来ないようにする事は可。
ポンタのLoppiログインリスク→ t.co/BxKX8Xvc7M ゲオで起きた個人情報取得リスク→ t.co/e7wuCM68qn
レンタルビデオチェーン「GEO」の千葉県内の店舗のアルバイト店員が、Pontaカードの番号でレンタル会員検索をして、客の個人情報を私的に使おうとしていることをツイートしていたことが分かった。チェーン店では、大手コンビニのローソンなどと違って個人情報が見られるシステムになっており、GEO側は、「実害は聞いていないが、再発防止に努めたい」としている。
dポイントの件。問題点は (1)利用の際に番号だけで使える(偽造?スマホの画面出されたら全部一緒) (2)ポイントカード番号の照会が登録ページで判明する 2点だと思うので、特に2については早急に見直すように改善案と要望を送っておいた。
殆どのポイントカードで番号が漏洩したらポイント失うリスクはある上に、デビットカード、クレジットカード、電子マネーまで使えるポイントカードがあるから普通はそっちを集めると思うけど。
(1)番号をカード登録ページと推測で入手したのか、(2)配布前に写し取った加盟店の内部犯行か、(3)それが売買されたものか。(1)は試行を困難にしつつヒットした番号は警戒(2)は不正利用されたカード同士で過去に正常に利用された店舗を調べる…
不正利用された人と利用された店との距離次第では財布抜かれてポイントカード撮影されたとかスキミング的なパターンもあるか。非公式アプリが送信しないとも限らないのに何でそんなの使うのかなとか。
今ローソンストア100でポンタ貰って来たらカード番号とセキュリティコードをメモ出来る方が表になって台紙に貼り付いてて笑った。(もっとも、どっちが表でもすぐに剥がれて貼り直せたから意味ないな)
ちなみに2枚のカード番号は15桁中9桁が一致、セキュリティコードは7桁中4桁が一致。というか手持ちの自前ポンタ(別の加盟店)を見ても6001の部分は変わらないからねえ。ローソンで配ってるのは袋に入ってて見えなかったっけ。
訂正。ローソンで袋入りで配っているのは電子マネー付きの「おさいふポンタ」で、通常のポンタはローソンストア100と一緒。それとバーコード、番号自体は小窓が開いていて袋を破る前から確認可。セキュリティコードも袋の繋ぎ目を引っ張り上げると確認可。
この「おさいふポンタ」2枚の番号がまた凄い。XXXX XXX* XXXX X** なんと15桁中12桁が一致していました。JCBプリペイドとして現金をチャージして使う部分の為に袋で隠しているんですね。XXXX XXX* **** **** (クレカ基準なので先頭から一致するのは当然)で期限は一緒。
カードの期限は袋に 2021/10 と入っているので 10/21 とわかりますね。ただ使う寸前までチャージしなければ良いだけで、Tポイントよりは…と。
次にdポイントこれもセキュリティコードが表になって貼付。番号の一致は**** **** XXXX X** で15桁中5桁一致ですが、絶対に被る共通4桁が含まれるのと最後3桁の先頭も実質共通(ローソン100は2、ローソンは6、dは0)。ロット差あるはずなのでdが安全という意味ではありません。
次に楽天。これはセキュリティコードが裏になるように貼付されているけど、少し持ち上げれば確認可。番号は XXXX X**X XXXX XX** で16桁中12桁一致ですね。dポイントが特別弱い訳でもない、加盟店も劣るのにdポイントが狙われたのは入手経路が推測では無く…ということ?
公式アプリ以外でバーコードを生成して、それを読み取れば簡単に利用させてしまう経路が大多数に存在する以上、この機会に他のポイントにも強化を求めず「利用停止!」と言うのは影響範囲を俯瞰出来ていない妙なアドバイスだな、と。
dポイントを使うには、カードか、アプリのバーコードが必要で、番号をもとに不正なバーコードがつくられた疑いがある。NTTドコモはポイントの利用を停止した人に新しい番号をつくるよう案内しているほか、被害にあった人にはポイントの返還など個別に対応している。
t.co/REfz0WSbGG
NTTドコモは「dポイント」が第三者に勝手に使われる被害が相次いでいるとして、不正に利用される可能性があるおよそ3万5000人のポイントの利用を停止。実際にポイントを使われたという被害はおよそ300件あり、1回に数万円分を使われた事例もあったという。
t.co/REfz0WSbGG
dポイント不正利用被害がすごいことになってるのか。まああれ適当なバーコードピッすれば使える可能性あるわけだし…。バーコードとかホンマクソ
対策方法は?
簡単に説明すると、現時点で「対策方法はない」です。
カードの利用を停止するか、ポイントを0にしてください。
現時点で取れる対策はdポイントカードとdアカウントの紐づけ解除くらいかな◆ドコモ「dポイント」偽造の懸念を巡る不正行為の気になる話(山本一郎) - Y!ニュース t.co/1oXlKNMW3G
何かと話題になっている「dポイントの不正利用」の対策方法などを書いてみました~
ぶっちゃけ、ドコモ側がもうちょっとどうにかしてほしいというのが本音ですが、自分でもそれなりにできる対策や設定はあると思います。
dポイントを使っている人は読んでみてください~
t.co/GZL99aPTDr
dポイントの不正利用を防ぐために自分でできる設定方法いろいろです。[9月10日 更新]dポイントの不正利用または不正利用につながる可能性のあるdポイントカードに対して『dポイントの利用ができないように停止した』とドコモが発表しています。ちょっと