8月23日三井住友カード株式会社が運営する、会員向けスマートフォンアプリ「三井住友カードVpassアプリ」にて、外部からの不正アクセスの被害があったことが判明しました。
経緯
8月19日三井住友カード社が定期的に行うセキュリティモニタリングにて発覚したとのことで、アプリに対して不審なアクセス試行が複数回検知されました。
攻撃者はリスト型攻撃の手法をとっていたと見られており、確認された不審なログイン試行に使用されたIDおよびパスワードは、同社において登録のないものが多数含まれていたことから、なんらかの形でユーザーのアカウント認証情報を入手した可能性があるようです。
被害状況と対応
三井住友カード社が確認した今回の不正ログインの対象となったアカウント数は16,756件で、氏名、クレジットカードの種類、利用金額、利用明細、利用可能額、ポイント残高といったユーザー個人情報が攻撃者に流出した可能性が高いとのことです。
今回流出したクレジットカード情報は、利用履歴に関するもののみで、不正利用の被害に遭うことはないとのことです。
同社は問題発生後、被害の対象となったアカウントへのアクセスを遮断と、ID、パスワードを無効化する対応を行うとともに、該当ユーザーに個別でID、パスワード情報を変更するよう呼び掛けているとのことです。
| 【参考URL】 会員向けスマホアプリにパスワード型リスト攻撃、16,756件が閲覧された可能性 |