【スタバ】スターバックスでクレジットカード不正利用：二要素認証なしとカード追加が弱点に

1 ：靄々 ★：2019/10/25(金) 21:45:07.58 ID:0qa6qjzw9.net

スターバックスでクレジットカード不正利用：二要素認証なしとカード追加が弱点に

スターバックスでクレジットカードの不正利用事件が起きました。会員サイトに不正ログインされ、登録されていたクレジットカードからお金をチャージされ店頭でコーヒー豆などを買われた被害です。事実関係と不正利用の原因をまとめます。

5件・約18万円被害だが住所・氏名・電話番号が閲覧された可能性あり
スターバックスの会員サービス「My Starbucks」に不正ログインがあり、登録されていたクレジットカードが不正利用されたことが10月24日に発表されました。スターバックスジャパン広報への電話取材を元に、事実関係をまとめておきます。

●スターバックス・クレジットカード不正利用の経緯（10月25日13時の電話取材）
・10月16日に最初の不正利用（17日に利用者からの問い合わせでスターバックス側が把握）

・被害が確認できたのは10月16日から18日にかけての3日間

・5アカウントが5店舗で不正利用された

・購入されたものはコーヒー豆・タンブラー・マグカップなど。換金されやすい商品が主に買われていた

・会員サイト「My Starbucks」に不正ログインがあり、登録されていたクレジットカードからスターバックスカードにチャージが行われて店頭で使われた

・その他に十数件の不正ログインの疑いがある（クレジットカードの不正利用はないが不正にログインされた可能性のある件数）

・情報流出の形跡は把握していないが「住所・氏名・電話番号」が閲覧された可能性はある。クレジットカード番号は一部を除きマスクされているため閲覧されていない

報道では「情報が外部に流出した形跡はない」とされていますが、筆者が実際にスターバックスの会員サイトにアクセスしたところ、住所・氏名・電話番号はマスクなしで表示されていることを確認しました。

犯人はID・パスワードで不正ログインできていますから、住所・氏名・電話番号が見られる状態にあったわけです。広報によれば「流出の形跡はないが閲覧された可能性はある」とのことで、住所・氏名・電話番号が犯人に知られた可能性があります。

犯人の手口は「パスワードリスト型攻撃」か
被害としては小規模ですが、クレジットカードからの不正チャージが行われたのは深刻な問題と言えるでしょう。

手口は「パスワードリスト型攻撃」だと思われます。過去に他で漏れているメールアドレス・パスワードがリストとして出回っており、犯人はそれを入手してスターバックス会員サイトで試し偶然あたったものを不正利用するという流れです。

パスワードリスト型攻撃はここ数年大きな被害を出しており、クレジットカード・航空会社・家電量販店・携帯電話会社・オンラインゲーム・SNSなどで繰り返し被害が出ています。セブンイレブンの7Pay不正利用事件でも、会社側はパスワードリスト型攻撃ではないかと発表しています（参考：7payクレジットカード不正利用：第三者乗っ取りがあり得る致命的な2つの弱点）。

パスワードリスト型攻撃の原因は、ユーザーの「パスワード使い回し」です。パスワードを覚えられないからと同じパスワードを複数の場所で使い回してしまう結果、このような不正ログインの被害に遭ってしまうのです。私たちはパスワードを一つ一つ別のものにしなくてはなりません。

ただしこれだけパスワードリスト型攻撃が多発すると、企業側の防衛策も必要です。スターバックスの会員サイトの状況をまとめておきます。

二要素認証がなかった
スターバックス会員サイトとスターバックスカードのしくみをまとめたのが下の図です。

https://rpr.c.yimg.jp/amd/20191025-00148279-roupeiro-000-6-view.jpg


※以下略。 全文はソースからご覧ください
https://news.yahoo.co.jp/byline/mikamiyoh/20191025-00148279/
10/25(金) 13:30

2 ：名無しさん＠１周年：2019/10/25(金) 21:48:21.15 ID:l3m7p+F00.net

7pay笑ってる場合じゃないな

3 ：名無しさん＠１周年：2019/10/25(金) 21:48:35.26 ID:tS5WDQbZ0.net

>>1

パンスト朝鮮顔を整形しまくったネトエラ（ネット工作の在日朝鮮人）が わきまくってるしな。


日本に密入国してきて図々しく居つき、
生活保護を受給しながら凶悪レイプ犯罪を繰り返し、
日本人になりすましネット工作を続ける在日朝鮮人。

チョンポップの人気偽装を繰り返してるのもこいつら在日朝鮮人・帰化人。スパイそのものだよ。

朝鮮戦争が終わり「特別永住許可」も終了しており、
帰化人を含めて在日朝鮮人たち全員を強制送還 するしかない。


●●● ネトウヨ連呼厨（ネトエラ）の正体 ●●●
http://karutosouka2.tripod.com/uyokusyoutai.htm
.

4 ：名無しさん＠１周年：2019/10/25(金) 21:50:58.02 ID:wHD8Zrhh0.net

ここじゃビザデビッドカードの登録を認めないんだよな。生意気にも。だからリスクが拡大した

5 ：名無しさん＠１周年：2019/10/25(金) 21:56:51.41 ID:tKrlDOmE0.net

近所に店ができたとき登録しようかなあと思ったけど
クレカからのチャージ式なんでやめた
女こどもを相手にしてるスイーツ屋のセキュリティなんて信用ならんからね

6 ：名無しさん＠１周年：2019/10/25(金) 22:06:12.82 ID:+zBRzt3N0.net

スタバックスてカード使えるんか？？！

7 ：名無しさん＠１周年：2019/10/25(金) 22:07:03.09 ID:Uy1fp/Ue0.net

二要素認証が正確に理解できる人がこのスレにどれだけいるのか

8 ：名無しさん＠１周年：2019/10/25(金) 22:07:29.60 ID:u5ZR50kB0.net

>二要素認証とはID・パスワードの他に、二つ目の要素で本人確認するしくみです。
>二つ目の要素としては、SMS（ショートメール）でスマホ端末の所有を確認するなどのしくみが一般的です。
>クレジットカードを登録できる重要なサービスなので、二要素認証を導入するべきだった

アホーとしか言いようが無いな

9 ：名無しさん＠１周年：2019/10/25(金) 22:12:37 ID:mEKPJM0b0.net

パスワードを1つ1つ別の物に？
無理に決まってんだろ

10 ：名無しさん＠１周年：2019/10/25(金) 22:19:02 ID:YtR/A6kG0.net

コーヒー一杯ごとき黙って千円札一枚出す方が手っ取り早いのに

11 ：名無しさん＠１周年：2019/10/25(金) 22:22:35.96 ID:nofwLLzj0.net

サイトごとにパスワード変えるの常識やろ
パスワード管理ソフトも知らないのか

12 ：名無しさん＠１周年：2019/10/25(金) 22:29:30 ID:ZGZAHcMv0.net

いまだに店頭でクレカや電子マネーが使えない。
ふざけんな

13 ：名無しさん＠１周年：2019/10/25(金) 22:30:50 ID:IOQRogva0.net

本当の問題はシステム会社ごとに、認証システムを作ってるからだぞ
外部のサービスを使って認証する仕組みもあるが
その連携部分で失敗したのが7payだからな

14 ：名無しさん＠１周年：2019/10/25(金) 22:31:51.65 ID:45f6wu5a0.net

もうiD使えない店はめんどくさいから行かないようにしてる

15 ：名無しさん＠１周年：2019/10/25(金) 22:38:38.71 ID:j1n7YJ500.net

5件で18万とか1会計の額がスタバにしてはかなり高額だな

16 ：名無しさん＠１周年：2019/10/25(金) 22:41:30.41 ID:FkuFCzNh0.net

>>6
スタバカードにクレカでチャージ出来るしクレカ使える店舗もあるよ

17 ：名無しさん＠１周年：2019/10/25(金) 22:43:43.89 ID:gDjvQU5c0.net

ハッキングはハッカーという犯罪者がいた時代ももう昔の話になるんじゃね？
ＡＩにハッキングさせるインテリ犯罪者が現れたらどうすんの？
もう、インターネットに信頼のおける時代は終わってるだろ。

18 ：名無しさん＠１周年：2019/10/25(金) 22:44:26.40 ID:1SzS1End0.net

クレジットチャージ
銀行オートチャージは
ヤバいことが分かった。

それやれば高ポイント還元してもらえるメリットがあるが、
それ以上に不正利用されるリスクの方が恐ろしい(>_<)

19 ：名無しさん＠１周年：2019/10/25(金) 22:50:31.63 ID:5UxmYMqA0.net

>>10
あーこれこれ
普通にクレカ持ってるけど近所のパン屋とか未だに全部小銭
面倒なくていい

アマゾンとか通販ならともかくその他の身近なものまでクレカとかかえってめんどいわ

20 ：名無しさん＠１周年：2019/10/25(金) 22:50:59.61 ID:tB/trY8h0.net

で、元のパスワードはどこのサイトから漏れてるんだ？

21 ：名無しさん＠１周年：2019/10/25(金) 22:59:57.17 ID:fUdKRojZ0.net

>>10
小銭が邪魔だろ

22 ：名無しさん＠１周年：2019/10/26(土) 01:19:36.00 ID:W3/CXJif0.net

小銭の処分はセミセルフレジが便利
何も考えずに手持ちの小銭を全部投入したら
最小枚数に両替してくれる

23 ：名無しさん＠１周年：2019/10/26(土) 06:30:57 ID:Yt6GGSvX0.net

また中国人か

24 ：名無しさん＠１周年：2019/10/26(土) 07:36:44.94 ID:gRPPldbL0.net

こういうのは防犯カメラあるだろ
公開すればいいやん

25 ：名無しさん＠１周年：2019/10/26(土) 12:32:20.40 ID:JTVVHOXV0.net

最近になって初めて言葉覚えた子供のように二要素認証連合してるのが笑えるわ
非対応のサイトなんて山ほどあるのに今更すぎる

26 ：名無しさん＠１周年：2019/10/26(土) 16:16:37.63 ID:otbRwBL20.net

二要素認証っていいながら、
二要素認証になってないやつもあるからな

27 ：名無しさん＠１周年：2019/10/27(日) 00:10:36 ID:/9gCeml90.net

こんなショボイ店でやるとは。

28 ：名無しさん＠１周年：2019/10/27(日) 10:39:45 ID:iUloPTE40.net

>>1
何回読んでもわからんな。
カード番号が流出してないのになんでそのクレカでチャージ出来るの？

29 ：名無しさん＠１周年：2019/10/27(日) 15:02:02.98 ID:fsHV9azv0.net

パスワード変更してくれってメール来たけどさ
なにがどう盗まれたのか情報欲しい

まさか鯖側で暗号化せずに生テキストで保存してたのか？

30 ：名無しさん＠１周年：2019/10/27(日) 15:05:33.67 ID:EgO8Z5wu0.net

新作
from:スターバックス　
subject:パスワードにアカウント今すぐ！変更
ここでクリック！

が追加されるわけか

31 ：名無しさん＠１周年：2019/10/27(日) 15:08:30.31 ID:V/QmDDbg0.net

いわゆるセキュリティ基礎の教科書にのってるパスワードリスト攻撃きたーｗ

32 ：名無しさん＠１周年：2019/10/27(日) 15:11:41.30 ID:epzFvwIf0.net

>>16
使える店って殆どの店でクレカ使えるよな
ただしクレカのブランド提示してる店は見たこと無いから
知らない人はクレカは使えないと思う

33 ：名無しさん＠１周年：2019/10/27(日) 15:52:25.31 ID:D7ZXFLZr0.net

>>31
こないだ情報セキュリティマネジメント試験で7payが出たばっかりだぞ