三井住友カード株式会社で不正侵入？原因と対策について解説！

三井住友カード株式会社は2019年8月23日に、提供している会員向けスマートフォンアプリ「Vpassアプリ」が何者かにサイバー攻撃を受けたと発表しました。サイバー攻撃により顧客の個人情報が流出してしまい、二次被害が懸念されています。

今回は、三井住友カード株式会社で発生した不正侵入について、原因と対策について解説していくので参考にしてみてください。

三井住友カード株式会社とは？

三井住友カード株式会社とは、クレジットカード事業を中心に活動している会社で、様々な顧客と多様な事業を行っているのが特徴です。多様な事業とは、会員事業・加盟店事業・受託事業などがあります。

具体的に、どのような事業展開を行っているのか、詳しい内容を紹介していくので、参考にしてみてください。

・会員事業

個人・法人向けカードやファイナンス、その他カード会員向けに多彩なサービスを提供しています。あらゆるニーズに応える様々なカードを発行していることから、顧客のライフスタイルにあった多彩なサービスを提供することに成功しているのが特徴です。

クレジットカード関連の事業に加えて、デビットカード、プリペイドカード、ギフトカードなどの事業も展開しているため、気軽に誰でもカードを取得し、多様な使い方を実現しています。

・加盟店事業

安心のネットワークと最先端の技術によって、様々なシーンでのキャッシュレス化を実現しています。スーパー、コンビニ、ファーストフードなど、様々なシーンでの決済方法を提供しており、加盟店への振込明細のWeb化や販売促進まで行っているため、充実の支援サービスで加盟店の売上アップを手伝いしているのが特徴です。

・受託事業

クレジットカード業務全般について、顧客の要望に応じたソリューションが提供されています。独自の決済、顧客管理システムを提供し、各種カード関連業務の代行によって、事業者により低コストで高品質なカード事業展開を可能としているのが特徴です。

データベースマーケティングや最新の決済ソリューションによる事業拡大をサポートしています。

三井住友カード株式会社で発生したサイバー攻撃

三井住友カード株式会社で発生したサイバー攻撃は、会員向けスマートフォンアプリ「Vpass」に侵入し、顧客のID16,756件に不正侵入した可能性が高いと発表しました。三井住友カード株式会社が公表した内容によると、攻撃者の手口はパスワードリスト攻撃で、多くのユーザーが使い回しを好む傾向を利用し、500万回のアクセスを繰り返し行った可能性があるとしています。

実際に問題が発覚したのは、2019年8月19日に、定期的に実施しているモニタリング調査によって、「Vpass」アプリに対する不正アクセスが確認されたことで判明したそうです。

緊急対応として不審な接続元からの接続を遮断し、通信をブロックすることで被害の拡大を抑制するように対応しています。不正アクセスが確認されたIDのパスワードの無効化装置を実施して対処することに成功しているようです。

不正アクセスの原因を調査したところ、500万回ほどのログイン施行の中でほとんどがサービスに登録されていないものであったことから、リスト型攻撃が実施されていたと判断しています。

不正ログインに使用されたIDとパスワードだけでは、クレジットカード利用情報のみの閲覧に留まることから、クレジットカード情報の流出や不正利用は確認されていないと公表しているようです。

具体的に流出した可能性のある顧客の個人情報の内容としては、顧客の氏名・クレジットカード名称・クレジットカード利用金額・利用明細・利用可能額・ポイント残高などになっています。

現在も不審な通信がないか確認されており、不正利用などの悪用が見られる場合は、対象カードを利用停止にし、顧客に報告することで対策を取ったようです。

今回の不正ログインによって、顧客の個人情報が流出した可能性が高いものの、クレジットカード情報が漏洩していないことから、金銭的なトラブルに発展する可能性は低いことが想定されています。ただ顧客の氏名など、一定の個人情報は流出していることから、今後どのようなトラブルが発展するかわからないため、顧客側も不審なメールなどが届いた場合は、軽率な対応を行わないように注意する必要があるでしょう。

参考URL：https://cybersecurity-jp.com/news/33067

三井住友カード株式会社の今後の対応

三井住友カード株式会社の対応は迅速であったことから、顧客の個人情報はクレジットカード情報までは漏洩することがなかったとされています。ただ顧客の個人情報は一部、流出してしまっていることから、今後の対応や顧客への報告は慎重に行っていく必要があるでしょう。

またどのような攻撃であったのか、詳しい情報をもとに、今後の対策を講じることが大切です。個人情報保護の管理体制としては、定期的にモニタリング調査を行っていたことから、十分な体制で情報を保管していることが今回のトラブルによって理解することができたため、顧客としても一安心であることが想定されます。

三井住友カード株式会社で発生した不正ログインの問題は、顧客の個人情報が流出したものの、現段階ではクレジットカード情報が流出した訳ではないことから、大きくトラブルに発展する可能性は低いでしょう。

しかし二次被害が発生しないとは限らないことから、現状のパスワードが特定されやすいものであれば、パスワードの変更など対応を行う必要があります。

顧客側としても、自己防衛の手段として対応できる部分は対応しておく方がいいでしょう。

三井住友カード株式会社はPマーク取得済み

三井住友カード株式会社は、外部に個人情報保護の管理体制が整っていることを証明することができる「プライバシーマーク（Pマーク）」を取得しています。そのこともあり、今回の不正ログインでは速やかにサイバー攻撃に気付き、被害が拡大しないように対処することが証明されているのです。

ただ顧客の氏名など、個人情報が流出してしまっていることから、今後はパスワードリスト攻撃についても、何らかの対策が必要になってくるでしょう。

プライバシーマーク（Pマーク）は、第三者機関の厳しい審査を通った会社だけが取得することができます。そのため、三井住友カード株式会社は十分な個人情報保護の管理体制を整えていたことがわかるでしょう。

それでも今回の不正ログインによって、個人情報が流出するトラブルに発展してしまったため、相応の対応が求められます。今回の個人情報流出のトラブルは、速やかに対処することができたため、大きな問題に発展する可能性は低いですが、個人情報保護の管理体制が不十分である場合は、プライバシーマーク（Pマーク）が失効される可能性があるので、体制は常に万全な状態であることが重要です。

まとめ

三井住友カード株式会社で発生した不正ログインによって、顧客の氏名など個人情報が流出してしまう問題に繋がってしまいました。ただクレジットカード情報など、二次被害が発生する可能性のある個人情報は流出していなかったため、大きな問題に繋がる可能性は低いでしょう。

これからの三井住友カード株式会社の対応に注目されます。セキュリティ向上やパスワードリスト型攻撃に対して、どのような対応をしていくのかが重要になってくるでしょう。

プライバシーマーク（Pマーク）を取得しているため、個人情報保護の管理体制は十分であることがわかっています。それでも油断すると、プライバシーマーク（Pマーク）の失効もあり得るため、慎重な対策が求められるでしょう。