【メルマガ】えきねっとが不正に利用される?リスクを減らすには(2022年12月13日)

JR東日本の「えきねっと」。
勝手に新幹線の切符が買われた、との被害の声がネットで上がっています。

今回のメルマガではこちらについて見ていきましょう。

何が起きている?

詐欺者により、被害者のクレジットカードが使い、新幹線の切符を購入。
クレジットカードからも引き落としされた、というお話です。

切符はおそらく金券ショップ等で現金化されていることでしょう。

手法としては(おそらく)以下。

1. フィッシングメール等をきっかけに、えきねっとのログイン情報を取得
2. えきねっとにログインし、登録済のクレジットカードで注文、発券

上記記事にある方は「カード不正利用」の扱いとなりカード会社負担となったそうですが、そのための対応時間はバカになりませんよね・・・

対処法は?

えきねっとにクレジットカードを保存していると被害に合う可能性があると考えられます。
そのため、カード情報を消しておけばこの件のリスクはほぼなくなると考えられます。

カード情報は会員ページから簡単に削除できます。
不安な方は削除しておきましょう。

頻繁に購入される方は利便性が下がりますが・・・仕方がありません。

※私も削除しました。

システムどうなってるの?

正しいID・パスワードでログインされているので、システム側としては対処が難しいものです。

しかし、決済機能も持ち、多くのユーザがいて、少額ではない金額のサービス・・・
「ログインできれば買えてしまう」というのは、設計としてあまりにお粗末だと感じます。
(古いシステムでしょうから、時代に追いつけていない、が正しいでしょうか)

・二段階認証の設定はない(できない)
・パスワードも「記号を除く半角・英数字混在(6〜12文字)」
・注文時にセキュリティコード入力などの確認もない

リスクを軽減するためのシステム対策はいくらでもあります。

うがった見方をすると、被害があってもJR東日本側は儲かります。
そのため・・・(以下、略)

私にも「えきねっと」の名前を騙るフィッシングメールがやたらと届きます。
しかも長期間に渡って、届き続けています。

それは、(詐欺者にとって)非常にコスパが高いからかもしれません。

メルマガ登録

"意見が持てる" デジタルコラム
『メルマガ Professional's eye』

週1回、3分で楽しめます。


詳細はこちら >>>
送信時点で「Privacy Policy」に同意したものとみなします。
広告を含むご案内のメールをお送りする場合があります。
※ご回答希望の場合は、ご連絡先も記入ください
"意見が持てる" デジタルコラム
絶賛配信中!

メルマガ詳細はこちら >>>

送信時点で「Privacy Policy」に同意したものとみなします。
広告を含むご案内のメールをお送りする場合があります。
   
         
最後までお読みいただき、ありがとうございました。
以下も、ぜひご活用ください^^
出版物
ITmedia
メルマガ
Site Access Log by HTTP Header
>情報システムの

情報システムの"教科書"本を発売中!


■ 情シス、システムコンサルタント、システムエンジニアの方へ
情シスの定石(技術評論社)

■ システムエンジニア、情シスの方へ
システム設計の教科書(技術評論社)

CTR IMG