2014年3月31日初版公開

2014年3月25日～27日、クレジットカード大手のJCBカードの会員専用ウェブサービス「MyJCB」に対して特定のIPアドレスから不正ログインがあり、JCBのポイントをTポイントに交換するインシデントが発生した。MyJCBサービスを使うと、過去8ヶ月分の利用代金明細を確認できるほか、現在のポイント残高の確認と商品交換ができる。JCBは、3月25日23:53 JSTより断続的にMyJCBのサービスを停止し、3月27日にウェブ上で注意を呼びかけた。このインシデントの原因は、サーバーへの不正アクセスによるものではないというが、IDとパスワードを入手した方法は現在不明である。^(脚注:1)

IDとパスワードで不正ログインされた件数は3桁の前半であり、そのうちの一部でJCBポイントがTポイントに交換された。こうしたポイントサービスのあるサイトに不正ログインし、ポイントを不正に交換する事件がここ数カ月いくつも起きている。例えば、2014年2月、JALマイレージバンクのウェブサイトにも不正ログインが発生し、マイレージポイントがAmazonギフト券に交換される被害が発生している。Amazonギフト券やiTuneカードは番号のみでネット上で利用可能であるため、換金の利便性が高い。また、Tポイントの場合、共通ポイントサービスで連携しているYahoo!IDは身分証明なしで登録可能であり、犯罪者によるポイント交換で使われてしまうことも多いという。今後もこうした不正ログインとポイントの不正利用が続くことが予想されるため、パスワードの使いまわしの停止とポイントの定期的な確認が大切である。^(脚注:2)

参考情報:

1. JCB「会員専用WEBサービス『MyJCB（マイジェーシービー）』のご案内」
   http://www.jcb.co.jp/myjcb/whats.html
   JCB「『MyJCB（マイジェーシービー）』への不正アクセスについて」
   http://www.jcb.co.jp/news/myj_20140327.html
   2014年3月27日付読売新聞（三上洋）「JCBに不正ログイン、Tポイントへの交換を悪用」
   http://www.yomiuri.co.jp/it/security/goshinjyutsu/20140327-OYT8T00506.html
2. 2014年2月3日付Security NEXT「JALマイレージバンクに不正ログイン―マイルをAmazonギフト券に交換される」
   http://www.security-next.com/46265
   2014年3月27日付読売新聞（三上洋）「JCBに不正ログイン、Tポイントへの交換を悪用」
   http://www.yomiuri.co.jp/it/security/goshinjyutsu/20140327-OYT8T00506.html