【メルマガ】えきねっとが不正に利用される?リスクを減らすには(2022年12月13日)

JR東日本の「えきねっと」。
勝手に新幹線の切符が買われた、との被害の声がネットで上がっています。

Yahoo!ニュース

 東日本旅客鉄道(JR東日本)が提供する「えきねっと」で、切符が勝手に予約され、クレジットカードから数万円が引き落とされ…

今回のメルマガではこちらについて見ていきましょう。

何が起きている?

詐欺者により、被害者のクレジットカードが使い、新幹線の切符を購入。
クレジットカードからも引き落としされた、というお話です。

切符はおそらく金券ショップ等で現金化されていることでしょう。

手法としては(おそらく)以下。

1. フィッシングメール等をきっかけに、えきねっとのログイン情報を取得
2. えきねっとにログインし、登録済のクレジットカードで注文、発券

上記記事にある方は「カード不正利用」の扱いとなりカード会社負担となったそうですが、そのための対応時間はバカになりませんよね・・・

対処法は?

えきねっとにクレジットカードを保存していると被害に合う可能性があると考えられます。
そのため、カード情報を消しておけばこの件のリスクはほぼなくなると考えられます。

カード情報は会員ページから簡単に削除できます。
不安な方は削除しておきましょう。

頻繁に購入される方は利便性が下がりますが・・・仕方がありません。

※私も削除しました。

システムどうなってるの?

正しいID・パスワードでログインされているので、システム側としては対処が難しいものです。

しかし、決済機能も持ち、多くのユーザがいて、少額ではない金額のサービス・・・
「ログインできれば買えてしまう」というのは、設計としてあまりにお粗末だと感じます。
(古いシステムでしょうから、時代に追いつけていない、が正しいでしょうか)

・二段階認証の設定はない(できない)
・パスワードも「記号を除く半角・英数字混在(6〜12文字)」
・注文時にセキュリティコード入力などの確認もない

リスクを軽減するためのシステム対策はいくらでもあります。

うがった見方をすると、被害があってもJR東日本側は儲かります。
そのため・・・(以下、略)

私にも「えきねっと」の名前を騙るフィッシングメールがやたらと届きます。
しかも長期間に渡って、届き続けています。

それは、(詐欺者にとって)非常にコスパが高いからかもしれません。

メルマガ登録

"意見が持てる" デジタルコラム
『メルマガ Professional's eye』

週1回、3分で楽しめます。


詳細はこちら >>>
送信時点で「Privacy Policy」に同意したものとみなします。
広告を含むご案内のメールをお送りする場合があります。
               
           

   
株式会社グロリア
石黒直樹
         
最後までお読みいただき、ありがとうございました!

以下も、ぜひご活用ください^^
情シスの定石
メルマガ
Site Access Log by HTTP Header
Site Access Log by HTTP Header
デジタル活用塾360
>【発売中】情シスの定石(技術評論社)

【発売中】情シスの定石(技術評論社)


情報システム部門の担当者が「絶対に」押さえるべきノウハウを体系化!

・システムの企画から廃止まで、情シスが「何をすべきか」「どう動くべきか」がわかる
・失敗につながる「見えない要因」を明らかにし、成功に導くためのポイントを解説
・情報システム開発に携わるすべての人の必読書

■ こんな方にオススメ
現役「情シス」/ 異動で「情シス」へ / 転職で「情シス」へ
部下・新人育成にお悩みの方 / 業務部門の方
経営者 / 開発ベンダ勤務の方 / 就活生

CTR IMG