大手コーヒーチェーンのスターバックスで不正アクセスの被害が発生し、10月24日からオンライン入金やオートチャージ機能が停止されている。
今回の事件は16日に同社の会員向けサービスの“マイスターバックス”の利用者が、身に覚えのない支払いに気づき、コールセンターに通報したことで発覚した。
同社の調査によると5つのアカウントで不正アクセスが確認され、何者かが会員のメールアドレスとパスワードを使用して不正にログインし、クレジットカードからチャージしたうえでコーヒー豆やタンブラーなどを購入するケースが関東の5店舗で確認された。被害総額は約18万円にのぼるという。
オンライン入金やオートチャージ機能の停止は26日23時に解除される予定で、同社はセキュリティ強化策として、パスワードの定期的な変更や第三者に推測されにくいパスワードへの変更を呼びかけている。
ITジャーナリストの三上洋氏は「何らかの方法でIDやパスワードを入手し、不正にログインする『パスワードリスト型攻撃』だ」と今回の不正アクセスの手口を分析。また、今後は「企業側がクレジットカードと結びつけるようなサービスには『2要素認証』(※)を取り入れるべきだ」と対応策も述べた。
※本人認証の際に「利用者だけが知っている何か」、「利用者だけが所有している何か」、「利用者自身の特性(指紋など)」のうち、2つの要素を組み合わせること
(AbemaTV/『けやきヒルズ』より)