Category: Finance

PontaWebに “第三者” がログイン

表記のようなメールがPontaWebの認証を司るリクルートから来て,ログイン履歴を調べてみました.

ログが残っている2024年10月から執拗ではなく,数日に一度 “本人確認” という認証方法でPontaWebにアクセスがかけられています.

アクセス元はいろいろなIPアドレスからですが,hostコマンドで確認するとどれもamazonawsです.

さて,これはPontaポイントを確認するロボットだろうと推定しました.

そういうロボットに心当たりはあります.MoneyTreeです1

Pontaポイントに関するログインアカウントはリクルートに一本化されたのですが,今回の一件で脆弱性が露見しました.

リクルート本体は2段階認証をしていて,まず不正ログインは有り得ません.一方PontaWebに関しては,リクルート本体と同じID/パスワードを使っての認証が普通で,その場合前述のログイン履歴には「ログイン」と示されます.2段階認証の設定はできません.

本体が2段階認証なのに,子どものサイトが1段階の認証だけというのは何とも心もとないです.

それに加えて,PontaWebには「本人確認」という認証方式があります.これは,ななんと,「パスワードのみ入力する認証方式」だそうです.パスワードには他人との一意性はもとめられていないから違うかも知れませんが,リクルートのサイトにはそのような説明があります.

本体が2段階認証でもこれではどうしようもないなあと思った次第です.

ちなみに,前述のメールの勧めに従ってリクルートのサイトのパスワードを変更したところ,以後PontaWebでの「本人確認」によるログインの成功は記録されていません.

Apple Pay vs Google Pay (3)

その後ネット検索もしています.やはりペイジビューで飯を食うライターさんたちの記事は秀逸で,Apple PayもGoogle Payもどちらにも気を使って書いています.また,使ったことあるのかよって疑問を禁じえない記事も少なくありません.

使えば率直な感想があるはずで,適不適も個人差があるでしょうからそういったあたりをむしろ読みたいのですが,そうした個人の感想を排除するプロ根性は流石です.

具体的にリンクを貼ると訴訟リスクがある(あちらは金絡みなので😅)のでやめときますが,目立つのは以下の点です.

  • クレジットカードのQUICPay+経由の利用ではGoogle Payは上限3万円,Apple Payはクレジットカードの上限までなのに,敢えてそれに触れていない(触れても表に載せるくらいでサラッと流す)
  • Apple Pay利用時の生体認証はセキュリティー向上としてメリットに上げるべき1なのにデメリットとして扱っている(Google Payは支払い時の認証操作なし)
  • 登録できるクレジットカードの種類が圧倒的にApple Payが多い2のに,少し多い的なニュアンスにしている
  • クレジットカードのNFC-A/B決済については全く触れない(利用可能なクレジットカードはApple Payが圧倒的に多い).

ちょっと古い情報ですが,全世界的にはiPhoneの利用者はAndroidスマホの利用者よりずっと少ないわけですが,なんとかPayの利用総額はApple Payの方が多いという報道があったと記憶しています.3だけ主義の金融機関が効率の悪い方に積極的に投資はしませんよね.

Ignica Scan & Goのポイント移行は最終手段

ポイント移行の件について,Ignicaのサイトに問い合わせフォームがあったので問い合わせてみました.程なく丁寧な返事が届きました.

要点としては,夏の予定が都合で遅れている,ポイント移行後のScan & Goカードは無効になる,の2点でした.そう,ポイント移行は好きなときにいつでも何回でも移行できるという利便性のあるものではなく,もうScan & Goカードは一切使わないでアプリに一本化する,というときだけのためのものだということのようです.

ということはサービスが提供されても使うことはないでしょうから,待つ必要もなくなりました.

SIM swap 詐欺 (4) 初期の認識

SIM swap詐欺がメディアで話題になったのは数年前のようで,その頃のICTメディアの解説記事を読むと,まずSIM swapありきの前提で,解ったような解らないような解説がしてあります.

犯行は概ね以下のような流れであるとの解説です.

  1. フィッシングなどによりキャリアとの契約ID,パスワード,電話番号を抜き取る
  2. 免許証を偽造して(どうやって住所などの情報を得るのか?)窓口に出向いてSIM紛失を申し出て再発行を受ける(正規ユーザー=被害者のSIMは無効になる)
  3. 不正に入手したSIMを犯罪グループのスマートフォンに入れて起動し,銀行アプリなどを使って犯罪グループの口座に不正に送金する

しかし,SIMカードを不正に入手したからといって銀行アプリで不正アクセスするのは無理でしょう.iPhoneであったらiCloudのアカウント情報,AndroidであればGoogleのアカウント情報が最低限必要で,それらが入手できた上で二段階認証を突破できれば(たぶん電話番号が同一というだけではできないと思います)使用していたアプリが「復元」できます.また,銀行アプリのアカウント情報については復元できるかどうかはアプリ次第でしょう1

最近の報道ではSIMが不正入手されてから銀行口座にアクセスされて不正に出金されるまではほんの数十分で,自分のSIMが使えないと気付いたときはたいてい手遅れだとのことです.

iCloudやGoogleのアカウントをハッキングして銀行アプリを探し出してハッキングするというのは数十分では無理でしょう.

またSIM swap詐欺が出始めた頃のICTメディアの記事にある「自分のSIMが有効か気をつける(まめにアンテナの表示を確認する)」というのはあまり意味がないことが分かります.

何が違うかというと,そもそも先にフィッシングで携帯電話の情報をだまし取ってSIMを不正に入手する,という犯行の手順です.

先にフィッシングで銀行口座をだまし取って,付随する電話番号からSIMの不正入手をする,というのが正しい😅 犯行手順と推測されます.

SIM swap 詐欺 (3) MVNOが低リスクかも

SIM swap 詐欺の被害者にならないようにするにはどうすればよいか,考えてきましたが,やはりMVNOと契約するのが一番リスクが低いと思います.

その根拠はMVNOの契約者数の少なさです.最近のデータでも全契約者のうちの10%足らずのようです.

最近の報道に寄れば,犯行グループはフィッシングなどによって銀行口座情報などを抜き取ります.また同時に得た電話番号に基づきキャリアを特定します1.しかし,前の記事の考察の通り,犯行グループはMVNOの場合はどのMVNOか,それ以前にMVNOかどうかも知り得ません.

闇バイトに応募した人の写真とフィッシングで得た情報から偽造した免許証をその応募した人に渡しキャリアの窓口に出向かせます.で,もしターゲットがMVNOの契約者であったら,そこでアウトですが,その確率は10%未満です.何か勘違いしたとかごまかせばよいし,仮に捕まったとしても使い捨ての闇バイトです😔

犯行グループは闇バイトを使い捨てと認識していることは各種報道から明かですし,犯罪ですから他にもいろいろリスクがあり,MVNOである10%足らずの確率は無視できるのでしょう.

もちろん日頃からフィッシング詐欺に引っかからないように気をつけることは重要ですが,情報を抜かれても被害者はすぐには気がつかないのがこの詐欺の怖いところです.ですから,情報が抜かれたとしても被害に合わないように(=SIM swapされにくくする)できることをしておくことは重要だと思います.