登録会員限定記事 現在はどなたでも閲覧可能です
同社が不正ログイン被害を公表する前後に、TwitterなどのSNSには被害に遭ったと思われる複数の会員が、被害内容を書き込んだ。その内容には、身に覚えのないチケットが購入されたこと、そのチケットの代金が自身が登録したクレジットカードとは別のカードで決済されたことが書かれていた。
同社によれば、攻撃者は不正ログイン後に自らクレジットカードを登録してチケットを購入し、購入後はクレジットカード情報を削除したという。人気の高いチケットばかりが購入されており、電子発券したチケットを転売する換金目的だとみている。不正ログインの手法は、ログや試行に対する成功率からリスト型攻撃だと特定したという。
攻撃者が登録したクレジットカード情報は、クレジットカード番号とセキュリティコード。同社の担当者は、「使われたクレジットカード情報は、攻撃者がフィッシングなどで入手したものだろう」と推測する。
同社は、利用履歴がない端末からチケットを購入した会員に対して通知を行い、不正ログインによる購入が確認された時点で購入を取り消したという。会員に実質的な被害はなかったとしている。
Webサービスへの不正ログインによるマネタイズではこれまで、自社ポイントサービスの消費や登録済みクレジットカードによる不正購入が一般的だった。今回の2件は珍しいケースだ。ただ攻撃者は、今後も新しい方法でマネタイズを実行してくるだろう。ポイントカード番号をバーコードでそのまま表示する方法やクレジットカード情報だけで決済する方法などは、攻撃者にとって悪用しやすい。こうした方法は業界全体で根本的に見直さないと、被害は繰り返されるだろう。
