三井住友カード「Vpass」アプリに1.6万件の不正ログインか

三井住友カードのウェブサイト

　三井住友カード株式会社は23日、会員向けスマートフォンアプリ「三井住友カード Vpassアプリ」に、1万6756件の不正ログインが発生した可能性があることを発表した。

　同社が不正対策として定常的に行っているモニタリングにより、Vpassアプリに対する不正なログインを8月19日に探知。緊急措置として、不正ログインと特定されたアクセスを遮断し、不正ログインされたIDのパスワード無効化を行った。

　調査の結果、閲覧された可能性のある項目は、ユーザーの氏名、カード名称、カード利用金額、利用明細、利用可能額、ポイント残高など。不正ログインに使用されたID・パスワードは、三井住友カードで登録されていないものが多数含まれており、“リスト型攻撃”による不正ログインであることが判明している。

　リスト型攻撃は、他社サービスからの流出など、攻撃者が何らかの手段で入手したID・パスワードの組み合わせのリストを使って、別のサービスにログインを試みる攻撃方法になる。今回の不正ログインに使用されたID・パスワードが同社から流出した証跡はないと説明している。

　不正ログイン試行総数は約500万件。今回の不正ログインに使用されたID・パスワードは、クレジットカード利用情報などの閲覧が可能となるが、買い物などの取引に利用されることはないとしている。

　なお、クレジットカード番号についてはマスキングを行っているため、特定されることはないという。

三井住友カードが8月23日に公開した情報