セブンペイ、9月末でサービス終了 午後3時から会見(全文2)保険加入検討中にハッキング
なぜリスト型ハッキングと判断したのか
三上:ITジャーナリストの三上洋と申します。手口について教えてください。リスト型アカウントハッキングという結論だそうですけれども、現状まずIDとパスワードだけではなくて不正利用にはチャージ用のパスワードが別に必要です。つまり3つ目の要素まであるわけです。さらに被害者の方のインタビューを複数伺いますとパスワードを使い回していなかったという事実も分かっております。この3つ目の要素があること、使い回していなかったことから、リスト型アカウントハッキングであるという可能性は非常に低いように思えます。なぜリスト型ハッキングと判断されたのか。 またもう1点。被害者の方への直接的な調査というのはされているのか、教えてください。 後藤:ただ今のご質問でございますが、リスト型アカウントハッキングと判断する理由ということと、被害者としっかりコミュニケーションしてるのかどうかという2つの質問でよろしいでしょうか。それについては田口よりお答えさせていただきます。 田口:それではタグチのほうからお答えをさせていただきます。まずリスト型アカウントハッキングということに、結論に至りました要因でございますけれども、当該時間帯につきまして複数の私どもにIDがない、要はパスワードエラーではなくてIDエラーが大変たくさんございましたので、そのあとパスワードエラーが起き、そのあと不正のチャージ、使用等が行われているということが調査グループのほうからの報告として上がってきております。現在808、IDのお客さまにつきまして、1件1件ログの調査をさせていただいておりますけれども、それらにつきましては同じ流れで幾つかのIDを試されたあと、パスワードが破られ、そのあとチャージをされたか、ないしは不正に利用されたかというのが現在までのログの調査ではっきりとしております。 個別のお客さまにつきましてでございますが、個別にはお答えはできませんけれども、すでに被害に遭われてお届けをいただいたお客さま等からは、2番目、私どものパスワードとチャージのパスワードを同じにしていたというご証言も幾つか頂戴しているということでございます。