情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2020年11月26日号
***************************************************************
フリマサイトを利用したサイバー攻撃に要注意!
***************************************************************
フリマサイトは、オンライン上で主に個人間による物品の売買を行えるフリーマーケットサイトである。
各社のCMも多く、簡単に登録出品ができることから最近ではお小遣い稼ぎ、副業などの目的で
出品し金品を得ている人も多い。
フリマサイトとしては海外を含め20社程度、国内で10社程存在していて、その中でメルカリ、ラクマ、
ヤフオク、PayPayフリマ、の4社に関してはスマホ決済とも連動している。
断捨離という言葉の流行もあり、不用品を出品したり、自分の欲しい安い中古品を探したりして
売買したことのある人もいるのではないだろうか。
モノが溢れている時代で物の大切さを考えた場合、不要になったからゴミとして捨てるのではなく
再利用するという考え方はいろんな意味で良い考えだと思う。
実際に使う時は自分のアカウントでログインし出品もしくは購入を行う。
出品したものが購入されると指定していた金額から手数料などが差し引かれた金額がポイントとして
サイト内に保管され、そのポイントを使って購入もでき、指定の銀行に振り込みも可能である。
また購入する時はコンビニ決済やクレジット決済の他、登録していれば自動的にスマホ決済もでき
ネットショッピング同様に簡単に商品を買う事ができる。
通常は手数料や送料が発生することも想定し、数百円から数千円程度の価格がついた商品が
目につくが、時折数万円から数十万円という価格がついた商品も出品されている。
特にブランド商品や人気商品に関しては高額な取り引きがされている。
メルカリでは出品金額の上限が999万9999円、ラクマでは200万円となっていて実際にその金額で
出品している人もいる。実際に取り引き成立した金額を見ると100万円以上の金額で売買成立し
ているものも多く確認できる。
新型コロナウイルス流行後はマスクや除菌関連の商品、トイレットペーパーなど入手しにくい商品が
通常の何倍もの価格で出品、取り引きされ問題視されたこともあった。
今年夏以降、中国ブラックマーケットでは、このフリマサイトのアカウント情報の売買が増加し始めた。
当初はフリマサイトのアカウントを使ってなりすましをしたとしても、利用金額が少額のため不正利用
のリスクの方が高く何をしたいのか疑問に感じていた。
そこで9月以降の増加が気になり注視していたが、徐々にその不正利用の手法が見え始めてきた。
フリマサイトのアカウントでなりすましログインをする。AさんになりすませばAさん保有のポイントを使い
買い物や指定銀行に振り込みができる。しかしAさんが高額のポイントを保有しているとは限らない。
そこでAさんのアカウントと連動している決済を利用し高額商品を購入することができる。
しかしこれからの不正利用者は商品は購入しない。
スマホ決済に連動していればフリマサイトで利用可能な金額がチャージができるのである。
メルカリやラクマの場合、1日に10万円チャージ可能で、最高100万円までチャージできる。
そして一度チャージした金額を改めて口座に振込できるのである。
この口座を不正利用者の口座に指定すれば何もせずAさんからお金を搾取可能という事である。
9月にドコモ口座を始め、様々なキャッシュレスペイサービスが連携している銀行口座から不正出金
される事件が大きなニュースになったが、サイバー犯罪者は次の攻撃を考え出していた。
メルカリの会員数が7100万人、ラクマが1500万人いる。
スマホ決済利用者が仮に10%だとしても、それぞれ710万人/150万人いることになる。
SIPSの調査結果、9月からの約3ヶ月【中国ブラックマーケット】では10件以上のフリマサイトアカウ
ント情報の売買が確認されている。
その中で複数の情報提供者にコンタクトし保有情報について確認すると、明確な数字は明かさな
かったものの【大量】という表現を使った規模のアカウントを保有しているとみられる。
しかもSMS認証なども代行可能というコメントまである。
このような不正利用があった場合、フリマサイト運営会社はもちろん影響があるが、連動している
キャッシュレスペイ運営会社、更には実際の口座がある銀行にも影響が出てくるだろう。
9月のキャッシュレスペイなりすましによる不正出金事件で、大きな被害を受けたキャッシュレスペイ
事業者や銀行はまだまだ終わりではない。
今度はフリマサイトを利用した不正出金被害が発生する可能性がある。
表向きはフリマサイトでの被害のため、キャッシュレスペイ事業者や銀行からすると分かりずらい。
なりすまし被害に遭う本人も、銀行から何故お金が減っているのか分かりずらいため、事件の発覚
まで時間がかかることが想定される。
早く対応しなければ、また数千万円から億単位のお金が搾取されるかもしれない。
フリマサイト、キャッシュレスペイ、銀行などの関連企業は十分に注意して対応しなければならない。
そしてフリマサイトにアカウントを持つ人で、スマホ決済などの連動をしている人は十分注意して
被害に遭わないよう対策を取ることが必要となる。
---------------------------------------------------------------------------------
<参考URL>
日本経済新聞:2020/1/15
後払い「ペイディー」で詐欺 メルカリ利用者など被害
https://www.nikkei.com/article/DGXMZO54400180V10C20A1I00000/
メルカリボックス:2020/10/7
メルカリで第三者からクレジットカードを不正利用されました。
https://www.mercari.com/jp/box/q5f014c69fa7b1821/
毎日新聞:2018/12/31
フリマアプリで不正横行 アカウント乗っ取られ「ポイント盗難」も
https://mainichi.jp/articles/20181231/k00/00m/040/001000c
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved