登録会員限定記事 現在はどなたでも閲覧可能です
偽造が簡単なdポイントカード
攻撃者は、どのようにdポイントを不正利用したのか。NTTドコモは、具体的な攻撃手法を不明としている。ただ不正利用では、dポイントカードが使える店舗で発生したという。dポイントカードの偽造が疑われる。
dポイントカードとは、dポイント加盟店でdポイントを使って買い物をするためのカード。裏面にあるバーコードを店頭のリーダーにかざすとdポイントを利用できる。
NTTドコモのdポイントはdポイントカードを使って加盟店で買い物ができる
(出所:NTTドコモ)
[画像のクリックで拡大表示]
このバーコードに記録されているのは、「dポイントカード番号」。dポイントカード番号は15ケタの番号で、カードの表面と裏面にも記載されている。
dポイントカードの表面と裏面のそれぞれにカード番号が記されている。スマートフォンのリーダーアプリ(NTTドコモの「ICタグ・バーコードリーダー」)で読み取ると、dポイントカード番号が記録されていることがわかる(画像は加工済み)
[画像のクリックで拡大表示]
番号からバーコードを作るのは容易だ。悪用目的で入手した番号のバーコードを印刷し、別のdポイントカードのバーコード部分に貼り付ければ、偽のdポイントカードとして使える。
ローソンIDサイトでdポイントの残高を確認するとき、dポイントカード番号を表示するようになっていた。攻撃者はこの機能を使ってdポイントカード番号を入手し、dポイントを不正利用していたと思われる。
攻撃者がクレジットカードを登録して購入
一方、チケット販売サービスのイープラスへの不正ログインでは9月下旬、換金目的のチケット購入被害が発生した。しかし、チケットの決済に会員が登録したクレジットカードは使われなかった。
イープラスへの不正ログインでは、攻撃者が自らクレジットカードを登録してチケットを購入した
(出所:イープラス)
[画像のクリックで拡大表示]
