三井住友カードの「Vpassアプリ」に不正ログイン。リスト型攻撃

三井住友カードは23日、会員向けスマートフォンアプリ「Vpassアプリ」において、第三者による不正ログインが判明したと発表した。クレジットカード番号等の漏えいや悪用被害は確認されていないが、不正ログインIDのパスワード無効化などの対策を行なった。

8月19日、同社が不正対策として定常的に行なっているモニタリングにより、Vpassアプリに対する不正なログインを探知。緊急措置として、不正ログインと特定されたアクセスを遮断し、不正ログインされたIDのパスワード無効化などの対策を行なった。

調査の結果、不正ログインに使用されたID・パスワードは同社に登録されていないものが多数含まれており、「リスト型攻撃」による不正ログインと判明。不正にログインされた可能性のあるID数は、16,756件。不正ログイン試行総数は約500万件。

今回の不正ログインのIDとパスワードで、閲覧された可能性のある項目は、氏名、カード名称、カード利用金額、利用明細、利用可能額、ポイント残高等。カード利用はできず、またクレジットカード番号は、マスキングを実施しているため特定されないという。

対策として、不正にログインされた利用者のパスワードの無効化を行なうとともに、個別に連絡。IDとパスワードの変更を依頼している。