会員向けスマホアプリにパスワード型リスト攻撃、16,756件が閲覧された可能性（三井住友カード）

三井住友カード株式会社は8月23日、同社の会員向けスマートフォンアプリ「三井住友カードVpassアプリ」にて、第三者からの不正ログインが判明したと発表した。

これは8月19日に、同社が不正対策として定常的に行っているモニタリングにより同アプリへの不正なログインを探知したというもの。同社の調査によると、不正ログインに使用されたIDとパスワードは同社に登録されていないものが多数含まれており、「パスワードリスト型攻撃」による不正ログインと推測され、同社から流出した証跡は無いとのこと。

不正にログインされた可能性のあるID数は16,756件で、氏名、カード名称、カードご利用金額、ご利用明細、ご利用可能額、
ポイント残高等が閲覧された可能性がある。なお、不正ログインに使用されたIDとパスワードだけではクレジットカード利用情報等の閲覧のみが可能で、買物等の取引は行えず、カード番号についてもマスキングを実施しているため特定されることはない。

同社では緊急措置として、不正ログインと特定されたアクセスを遮断し、不正ログインされたIDのパスワード無効化等の対策を実施、顧客に個別に連絡を行いIDとパスワードの変更を依頼している。