Tポイントのサイト「T-SITE」に不正ログイン、299IDがなりすまし被害

　カルチュア・コンビニエンス・クラブ株式会社（CCC）は5日、Tポイント／Tカードのサイト「T-SITE」において不正ログイン被害が発生していたことを公表した。299IDで、なりすましによる不正ログインが行われ、勝手にTポイントが利用されていたという。該当ユーザーにはすでに3月29日に個別連絡した。

　3月27日、複数のユーザーから身に覚えのないTポイントの利用履歴があるとの問い合わせを受けて調査したところ、ユーザーのID・パスワードを使用して不正ログインし、「Tポイントギフト」サービスを使われていたことが判明。CCCでは同サービスを停止するとともに、セキュリティ専門会社と調査を開始した。

　Tポイントギフトとは、ユーザーがためたポイントを知人などのアカウントに贈ることができるサービスだ。CCCでは、ギフトの贈り先（受け取り主）となっていた複数のT-SITEアカウントを凍結するとともに、不正ログインのアクセス元となっていた国内外の複数のIPアドレスの情報やギフトの送り先アカウントの情報をもとに、他にも不正ログインによるポイント利用が発生していなかったかを確認。ログを過去半年までさかのぼって調査したところ、同様の被害が発生していた可能性のあるアカウントが299IDに上ることが、4月5日までに判明した。

　299IDで確認された不正ログインはいずれも3月26日に発生していたが、最近「gooID」などで被害を受けていたログインID・パスワードの機械的な大量アクセスによる攻撃ではないという。そのような攻撃であればログインに失敗したエラーログが増加するため、T-SITEのシステムで不正ログインの試行が発生していることを検知できるが、今回そのような形跡はなく、正規ユーザーがパスワードを間違ってログインエラーする程度の頻度だった。そのためにユーザーからの問い合わせがあるまで、不正ログインが発生していたことをCCCで把握できなかった。

　なお、これらのアカウントでなりすましログイン後に不正利用されていたのは、Tポイントギフトのサービスだけだったとしている。このため、T-SITEそのもののログイン機能を停止するのは影響範囲が大きいことから、Tポイントギフトサービスだけを停止したとCCCでは説明している。

　また、CCCでは、外部からの侵入などにより同社からID・パスワードが漏えいしたことは確認されていないとしている。T-SITEのユーザーを狙うフィッシング攻撃などが最近発生していたとった報告もなく、不正ログインに使われたID・パスワードの流出元は特定されていない。Tポイントギフトの送付先となっていたアカウントのユーザーの特定ともあわせて、引き続き調査を進める。

　CCCではなりすましログインの被害を公表するのに先立って、3月28日、サイトごとに違うパスワードを設定することを強く推奨する告知をT-SITEで出していた。その告知では、「複数のサイトで同じIDやパスワードを使い回すことは、『なりすまし』の被害に合う危険性があります。自己防衛のために、定期的にパスワード変更することや、利用サイトごとに、破られにくいパスワードを設定いただくことを、強くおすすめします」と呼び掛けるとともに、破られにくいパスワードの文字列や注意点についてアドバイスしていた。

　CCCによると、この告知は、3月27日になりすまし被害を確認したことを受けて出したものだが、その時点ではまだ状況を把握できるまで調査が進んでいなかったため、パスワードに関する一般的な注意事項を呼び掛けるにとどまったとしている。

　CCCでは再発防止の観点から、上記のようなユーザーに対するセキュリティ啓発を強化するとともに、今回のようななりすましによる不正ログインに対応できるシステム的な対策についてもセキュリティ専門会社のアドバイスを受けながら検討するとしている。

【記事更新 19:30】
　CCCへの電話取材に基づき、加筆しました。