不正ログインでTポイント盗難された話

2018年12月11日日常コメント (2)

11月16日にスマホからヤフオクにログインしようとしたところ
「普段お客様がご利用になられていない環境からログインされました。」
とのアラームが出ました。

調べてみると貯めていたTポイントがごっそり無くなっていました。
12000ポイントぐらい。
とりあえずパスワード変更して、いろいろ被害を確認。

１）11/13　6：00、18：00台湾からYAHOOメールへ不正ログインの履歴が有り
（その時にパスワードが突破されている。）

２）11/13　20：00モバイルTポイント（Tポイントカードの代わりにスマホを
Tポイントカードとして使用できる）機能を利用して
関東のコンビニでTポイントを使って買い物をされていました。

自分の落ち度はヤフーIDをログインIDとして使っていたことです。
ヤフーでは、ヤフーID（メールアドレスの前半になる部分）を使って
ログインできますが、セキュリティ向上のため非公開のシークレットIDを設定してそのIDでログインすることができます。（2012年～）
（自分はそれ以前から利用していたので、古いIDのままでした。）

ヤフーIDは公開情報（オークションとかで出品していると表示されてる）のため
ヤフーIDでログインする場合は、ヤフーID×ログインパスワード　のうち
ログインパスワードだけを突破すれば不正ログインされてしまいます。
非公開のシークレットID×ログインパスワード　と比べると危険性は遥かに高いです。

今回、被害はTポイント盗られただけでしたが、ログインされていたので
もっと大きな被害（勝手にオークションで落札、ショッピングで高額購入）
の可能性も有りました。

１）シークレットIDでログインする
２）ワンタイムパスワード（毎回スマホにパスワード送付される）
３）アラート設定（普段使わない環境からログインされたらメール連絡）
でセキュリティは高くなると思います。
PCのセキュリティソフトは最新にしていますが、スマホ落としたらとか
色々不安は有りますね。

その他、気休め程度かもしれませんが、
ネットで登録するカードは限度額最低限で専用に1枚作る。
（プリペイドカードが使えるならそれ使う）

今回さらに、ポイントは必要以上にためず消費する。が追加です。

被害の方は、YAHOOとTポイントカスタマーに連絡して、
不正アクセスと被害が確認されたため、12/10にポイントが無事補償されました。
自分は被害前にTポイントが5桁も溜まっていたのを覚えていたので
気付けましたが、3000ポイント位が無くなってたら気付かなかったかも
知れません。

便利ですが、リスクは年々高くなるので、自分のセキュリティレベルも
相応に上げないといけませんね、というのが今回の教訓です。
セキュリティ機能が追加されることには理由があるので、
追加された機能はしっかり使う必要があるんですね。

369047