三井住友カードの不正ログイン被害発表に隠されたリスク
本日、三井住友カード(SMCC)から「弊社会員向けスマートフォンアプリでの不正ログインについて」という発表があった。
同社が提供する会員アプリ「Vpass」で、第三者による不正ログインが判明したのだという。
SMCCは、「クレジットカード番号の漏えい及びクレジットカードの悪用被害は確認されておりません」とした上で、その手口について、「不正ログインに使用されたID・パスワードは弊社に登録されていないものが多数含まれており、『リスト型攻撃』による不正ログインと判明しました」と結論付けている。
つまりは先日、大きな騒ぎになった7payのパターンと同じということだ。おそらく犯人は、他のWebサービス等にアタックを掛けて入手したID/パスワードを総当たりでぶつけてきたのだろう。
被害状況については、閲覧された可能性のある項目として「氏名、カード名称、利用金額、利用明細、利用可能額、ポイント残高」を挙げている。
Vpassはユーザーが設定したID/パスワードでログインすると、Web明細やポイント残高の閲覧以外にも、住所や電話番号などの閲覧・変更ができる。ただし、それにはカードの有効期限とセキュリティコードを入力する必要があり、そちらの被害はなかったということのようだ。
それならば実害はほとんどないに等しいし、心配ないだろうと思われるかもしれない。
だが、今回の問題の本質はそこではない。
リリースでは触れられていないが、このVpassのパスワードは非対面カード決済で使われるセキュリティシステム「3Dセキュア」のパスワードとしても使えるようになっているのだ。
つまり、もしも犯人が事前にID/パスワードを窃取したWebサービスからカード情報も併せて入手していた場合、3Dセキュアを使った非対面決済が破られることになる。今回の不正ログインは、そのためのテストだった可能性がある。
もしそうだとしたら、これは大変な事態だ。
現状の非対面カード決済において、非常に安全性が高いとされている3Dセキュアが突破されるとなると、カード会社はセキュリティのあり方を根本から検討し直す必要が出てくる。割賦販売法の改正議論にも、影響が出るかもしれない。
SMCCをはじめとする一部のカード会社は、なかなか会員に浸透しない3Dセキュアの普及を進めるため、Webサービスやアプリのパスワードをそのまま3Dセキュアのパスワードに設定する仕様を採用してきた。
だがそれは、ユーザーが3Dセキュアの意味を理解してカード決済をすることにはあまりつながっていないように思える。そもそも、重要なパスワードをカード会社自ら複数のサービスで使い回すというのは、あまり賢明とは言えない。
このやり方は、早急に変更した方がいいだろう。
個人的には、非対面カード決済でセキュリティ性を確保するには、カード番号を別の数列に置き換える「トークナイゼーション」を利用するしかないと考えている。
だが、諸般の事情から今すぐすべてのカード取引をトークン化するのは不可能に近い(特に日本では)。となると、3Dセキュアの利便性を高めた「3Dセキュア2.0」や「動的セキュリティコード」の採用を次善の策として進めるしかないだろう。
特に、「動的セキュリティコード」はカード会員と加盟店に対する追加の負荷がゼロという素晴らしい仕組みだ(イシュアの費用負担が発生する、一部ネットワーク対応が困難、という問題はあるが)。
キャッシュレス・消費者還元事業の実施を目前に控えたこの時期になって、キャッシュレス決済の柱であるクレジットカードの信頼性が揺らいでいるのだ。カード会社には、大局的な視野に基づいた大胆なセキュリティ対策が求められる。