パスワードリスト攻撃による不正ログイン、カード不正利用確認（イオン銀行、イオンクレジットサービス）

株式会社イオン銀行とイオンクレジットサービス株式会社は6月13日、イオンマークのカード会員向けインターネットサービスの「暮らしのマネーサイト」とスマホアプリ「イオンウォレット」にて「なりすまし」による不正ログインが発生したことが判明したと発表した。

これは2019年5月28日から6月3日までの期間に、外部で不正に取得したと推測されるIDとパスワードを使った「なりすまし」が行われ、1,917名のカード会員が不正ログインされた可能性があり、そのうち一部のカード会員は不正ログイン後に登録電話番号が改ざんされ、スマートフォン決済アプリへの登録・認証に使用され、カードが不正利用されたことが確認されたというもの。

不正閲覧された可能性のある個人情報は、カード会員の氏名（姓名・フリガナ・ローマ字）、住所、電話番号、生年月日、性別、勤務先・年収、メールアドレスと、クレジットカード情報の請求金額・利用明細、利用可能枠、支払い口座情報の一部、カード情報の一部（カード番号の下4桁）、「暮らしのマネーサイト」にイオン銀行口座を登録しているカード会員は口座番号上4ケタ、預金種別、預金残高、支店名、契約者ID上5ケタ。またカードが不正利用された会員は708名で、その金額の合計は22,044,816円。

なお被害状況については現時点で判明しているもので、今後の調査の進捗により対象件数は変動する可能性がある。

同社では不正ログインが発覚して以降、不正ログインの通信元を特定しアクセスを遮断、その他のアクセスについても監視を強化し、不正ログインが確認されたカード会員のIDは使用できないようにした上で別途会員へ連絡、カード利用状況をモニタリングし不正利用を早期発見、防止する体制を整えるとともに、会員情報の改ざんを防ぐために会員サイトの情報変更メニューを一時的に閉鎖した。

同社では会員に対し不正ログイン防止のために、他のサービスで利用しているID・パスワードの不使用、定期的なパスワードの更新、第三者が容易に推測できるID・パスワードを使用せずに変更することを呼びかけている。