SIPS セキュリティレポート
当社ではSIPSによる調査・情報収集した内容を基に、日本へのサイバー攻撃の傾向や注意事項などを、不定期に“SIPSセキュリティレポート”として、メールにて 【無料配信】いたします。
当該レポートの情報を、ぜひ貴社セキュリティ対策の参考にしてください。
【配信日】 2020年11月26日
フリマサイトを利用したサイバー攻撃に要注意!
フリマサイトは、オンライン上で主に個人間による物品の売買を行えるフリーマーケットサイトである。
各社のCMも多く、簡単に登録出品ができることから最近ではお小遣い稼ぎ、副業などの目的で出品し金品を得ている人も多い。
フリマサイトとしては海外を含め20社程度、国内で10社程存在していて、その中でメルカリ、ラクマ、ヤフオク、PayPayフリマ、の4社に関してはスマホ決済とも連動している。
断捨離という言葉の流行もあり、不用品を出品したり、自分の欲しい安い中古品を探したりして売買したことのある人もいるのではないだろうか。
モノが溢れている時代で物の大切さを考えた場合、不要になったからゴミとして捨てるのではなく再利用するという考え方はいろんな意味で良い考えだと思う。
実際に使う時は自分のアカウントでログインし出品もしくは購入を行う。
出品したものが購入されると指定していた金額から手数料などが差し引かれた金額がポイントとしてサイト内に保管され、そのポイントを使って購入もでき、指定の銀行に振り込みも可能である。
また購入する時はコンビニ決済やクレジット決済の他、登録していれば自動的にスマホ決済もできネットショッピング同様に簡単に商品を買う事ができる。
通常は手数料や送料が発生することも想定し、数百円から数千円程度の価格がついた商品が目につくが、時折数万円から数十万円という価格がついた商品も出品されている。
特にブランド商品や人気商品に関しては高額な取り引きがされている。
メルカリでは出品金額の上限が999万9999円、ラクマでは200万円となっていて実際にその金額で出品している人もいる。
実際に取り引き成立した金額を見ると100万円以上の金額で売買成立しているものも多く確認できる。
新型コロナウイルス流行後はマスクや除菌関連の商品、トイレットペーパーなど入手しにくい商品が通常の何倍もの価格で出品、取り引きされ問題視されたこともあった。
今年夏以降、中国ブラックマーケットでは、このフリマサイトのアカウント情報の売買が増加し始めた。
当初はフリマサイトのアカウントを使ってなりすましをしたとしても、利用金額が少額のため不正利用のリスクの方が高く何をしたいのか疑問に感じていた。
そこで9月以降の増加が気になり注視していたが、徐々にその不正利用の手法が見え始めてきた。
フリマサイトのアカウントでなりすましログインをする。AさんになりすませばAさん保有のポイントを使い買い物や指定銀行に振り込みができる。
しかしAさんが高額のポイントを保有しているとは限らない。
そこでAさんのアカウントと連動している決済を利用し高額商品を購入することができる。
しかしこれからの不正利用者は商品は購入しない。
スマホ決済に連動していればフリマサイトで利用可能な金額がチャージができるのである。
メルカリやラクマの場合、1日に10万円チャージ可能で、最高100万円までチャージできる。
そして一度チャージした金額を改めて口座に振込できるのである。
この口座を不正利用者の口座に指定すれば何もせずAさんからお金を搾取可能という事である。
9月にドコモ口座を始め、様々なキャッシュレスペイサービスが連携している銀行口座から不正出金される事件が大きなニュースになったが、サイバー犯罪者は次の攻撃を考え出していた。
メルカリの会員数が7100万人、ラクマが1500万人いる。
スマホ決済利用者が仮に10%だとしても、それぞれ710万人/150万人いることになる。
SIPSの調査結果、9月からの約3ヶ月【中国ブラックマーケット】では10件以上のフリマサイトアカウント情報の売買が確認されている。
その中で複数の情報提供者にコンタクトし保有情報について確認すると、明確な数字は明かさなかったものの【大量】という表現を使った規模のアカウントを保有しているとみられる。
しかもSMS認証なども代行可能というコメントまである。
このような不正利用があった場合、フリマサイト運営会社はもちろん影響があるが、連動しているキャッシュレスペイ運営会社、更には実際の口座がある銀行にも影響が出てくるだろう。
9月のキャッシュレスペイなりすましによる不正出金事件で、大きな被害を受けたキャッシュレスペイ事業者や銀行はまだまだ終わりではない。
今度はフリマサイトを利用した不正出金被害が発生する可能性がある。
表向きはフリマサイトでの被害のため、キャッシュレスペイ事業者や銀行からすると分かりずらい。
なりすまし被害に遭う本人も、銀行から何故お金が減っているのか分かりずらいため、事件の発覚まで時間がかかることが想定される。
早く対応しなければ、また数千万円から億単位のお金が搾取されるかもしれない。
フリマサイト、キャッシュレスペイ、銀行などの関連企業は十分に注意して対応しなければならない。
そしてフリマサイトにアカウントを持つ人で、スマホ決済などの連動をしている人は十分注意して被害に遭わないよう対策を取ることが必要となる。
<参考URL>
日本経済新聞:2020/1/15
後払い「ペイディー」で詐欺 メルカリ利用者など被害
https://www.nikkei.com/article/DGXMZO54400180V10C20A1I00000/
メルカリボックス:2020/10/7
メルカリで第三者からクレジットカードを不正利用されました。
https://www.mercari.com/jp/box/q5f014c69fa7b1821/
毎日新聞:2018/12/31
フリマアプリで不正横行 アカウント乗っ取られ「ポイント盗難」も
https://mainichi.jp/articles/20181231/k00/00m/040/001000c
※当レポートの情報はサイバー情報提供サービス“SIPS”で確認した情報を基に提供しています。
※当レポートにて提供する情報は弊社サービス上で確認した数字で全てのサイバー攻撃に対する数字を表したものではありません。
※当レポートに関するお問い合わせは下記までお願いします。
