JR東日本の新幹線購入サービス「えきねっと」を悪用してJR東から新幹線切符を詐取したとして、会社役員の男と中国籍の男が逮捕された。JR東は以前からこの手の被害を把握していたはずであるが割と静観気味であり、東海がEXサービス詐取で通報して逮捕者が出た事から「うちも相談してみようかな」みたいな感じになったのだろう。
フィッシング等の何らかの手段で得たカード情報をえきねっとに入力して購入処理を実行、受取QRコードを発行して仲間に転送、その仲間が発券し、さらにそれをヤフオクで売りさばいて現金化するという手段であった。全く新規のクレカを入力したのか、それとも既存のえきねっとアカウントをフィッシングして購入したのかは定かでは無い。
今年春頃からえきねっとでは切符購入時にクレカのセキュリティ番号の入力が必須となったが、この事件と関係がある可能性が高い。JR東も偽メール偽サイト対策には力を入れているが、何らかの方法でえきねっとアカウント自体が詐取された場合の防御策も議論していく必要があるだろう。例えば利用限度額設定、最終ログイン日時やログイン履歴・操作履歴の表示、アカウントに自分の最寄りの駅を入れておいてその駅以外では発券不可能(窓口で身分証を提示すればロック解除)にするとか、何なら都道府県単位のロックでも十分な効果を発揮するだろう。またスマホは早々機種変更する事がないのでスマホの機種情報を紐づけてそれ以外の機種では不可能にするというのも一つの方法だろう。高額な新幹線切符の購入時は電話やメールによる二段階認証を設定し、それをクリアした時のみ購入出来るようにするのも一つの方法である。オンオフ及び何円からを高額とするかは本人に設定させれば良いのである。このようにえきねっとには便利や効率さを優先しているがためにゆるいシステムで脆弱性が山ほどあり、悪さしないだろうという性善説を唱える時代は既に終了しており中国人に脆弱性を突かれないように対策を強化してもらいたいと感じる所である。
