SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Now

歴史は繰り返す… いま、なぜマイレージプログラムが狙われるのか


誰もが1枚や2枚はもっている各航空会社のマイレージカード。いま、このマイレージプログラムを狙ったオンライン詐欺が、トロイの木馬とフィッシングの両方から流行する兆しを見せているという。なぜ、マイレージプログラムが狙われているのか。EMCジャパン RSA事業本部 シニアマーケティングプログラムマネージャー 水村明博氏に伺ったお話を紹介したい。

なぜ、マイレージプログラムが狙われるのか

 実はマイレージプログラムが攻撃の対象になったのは今回が初めてではない。2008年にはいくつかのマイレージプログラムサイトを狙った大規模なフィッシング攻撃が記録されている。水村氏によれば、今回確認されている手口も当時のそれとほとんど変わらないという。あまり喜ばしいことではないが、"歴史は繰り返す"というわけだ。

 では、なぜマイレージプログラムが狙われるのか。理由はごく簡単で、マイレージプログラムの口座は非常に換金性が高いということに尽きる。マイレージは航空券だけでなく、商品や優待サービス、会社によっては現金にも換えることができるため、攻撃者や詐欺師にとっては非常に魅力的なターゲットなのだ。

北米大手航空会社のマイレージプログラムサイトを騙ったフィッシングサイト
北米大手航空会社のマイレージプログラムサイトを騙ったフィッシングサイト

 かつて一度流行った攻撃の手口は、メディアなどでも数多く取り上げられるため犯罪者にとっても真似しやすい。攻撃用のツールもオープンソースなどで簡単に手に入る。加えて7月、8月は夏期休暇を取る人々が多いため、マイルが貯まりやすい時期となるため、犯罪者たちはそこを狙い撃ちにしたと思われる。

 だが仮にマイレージポイントを盗むことに成功しても、通常はポイントと特典と交換できるのはカードの所有者だけだ。そこで攻撃者たちは"狙いやすいところを狙う"という手段に出る。攻撃者たちが狙いやすい航空会社のサイトとは以下になる。

  •  マイレージポイントを他人に譲渡することを認めている
  •  マイレージポイントと特典を交換する際、本人確認をしない

 国内の二大航空会社であるJALとANAは、基本的に近親者以外への譲渡を認めていないが、米系航空会社などは他人への譲渡を認めるプログラムも多い。逆に国内航空会社の場合、本人確認のプロセスに甘い部分が見られる。それはたとえば、国内線を利用する際、IDの提示を要求されることがないという点にも現れている。もし詐欺師が盗んだマイレージで獲得した国内線航空券を使っても、それを見破ることは難しい。

 「詐欺師たちはどの航空会社を狙えば攻撃が成功しやすいか、非常によく研究しており、セキュリティのゆるいところを見つけてはピンポイントで攻撃を仕掛ける。国内航空会社に関しては今のところ被害の報告はないが、今後十分に注意する必要がある」(水村氏)

 今回、北米の大手航空会社および欧州の航空会社で被害が報告された。北米の会社はマイレージポイントを航空券以外のサービスや商品に換えられる換金性の高さが詐欺師たちを惹きつけた。彼らは本物のサイトとそっくりな偽サイト(フィッシングサイト)にユーザをおびき寄せ、IDとパスワードを得た後、マイレージポイントを盗み出すことに成功した。また、欧州の会社の場合、フィッシングサイトにユーザが釣られたところまでは北米の会社と同じだが、より深刻だったのは同じアカウントでユーザの予約状況や支払い状況まで閲覧できたこと、さらに日本とは異なりデビットカードでアクセスするユーザが多かったため、銀行口座などの情報まで入手可能だったことだ。つまり新たな詐欺につながる情報が漏れた可能性が非常に高い。水村氏によれば、これらのサイトは強いセキュリティポリシーに欠ける部分があり、より強固な認証やブロックによる対処が求められるという。

次のページ
フィッシングサイトの寿命は約48時間

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Now連載記事一覧

もっと読む

この記事の著者

五味明子(ゴミ アキコ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/3512 2011/10/12 11:12

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング