JR東日本の「えきねっと」で不正アクセス被害が発生

東日本の「えきねっと」に不正アクセスし、他人のIDで切符が勝手に予約されて、クレジットカードからお金が引き出される被害が発生していることがTwitterで報告されています。

#注意喚起
えきねっとのアカウントが不正アクセスされ、きっぷを勝手に購入された件について pic.twitter.com/IBx9AklKXp

— Sari@りらく (@Sari290202) December 2, 2022

この投稿を見ると、下記のような経過だったと書かれています。

• 被害に気が付きコールセンターに電話をしたが営業時間終了の１０分前で電話はつながらない
• クレジットカードの明細を確認すると、えきねっとから引き落としが確認されたため、クレジットカードを利用停止
• 翌日の営業時間内に、えきねっとに電話をしたが、混み合っていて担当者につながらない。担当者につながっても、担当者には「すでに発券されてしまったものはこちらはどうしようもない。 何もしない。 クレジットカード会社にそう言われたと伝えてください」と言われた
• クレジットカード会社に電話して状況を報告。カード会社による調査を経て、翌日にはえきねっと上での被害は不正利用として認められて、カード会社が被害額を負担することになった

この経緯を受けて、投稿された方は、

• 2021年6月下旬以降、えきねっとでは予約した時点で決済する方式に変更
• 第三者の不正アクセスがあった場合は予約された時点でクレジットカードから切符代が即時決済されてしまうため、えきねっとにクレジットカードを登録しない方がいい
• クレジットカードの明細確認をする

Twitterでは同じ被害にあった人からの報告が相次いでいます。

また、「ねとらぼ」でも編集記者の方が被害に遭い、記事にされています。

「JR東日本の“えきねっと”で勝手に新幹線の切符が買われた」被害が頻発？　約3万円引き落とされた記者がJR東に対応を取材した

東日本旅客鉄道（JR東日本）が提供する「えきねっと」で、切符が勝手に予約され、クレジットカードから数万円が引き落とされしまった、という不正アクセスの被害報告がTwitter上で波紋を広げています。えきねっとは、JR東日本による新幹線・JR特...

nlab.itmedia.co.jp

この「ねとらぼ」の記者の方も、えきねっとのコールセンターに電話をしましたが、なかなかつながらなかったと報告しています。

JR東日本では、フィッシングメールによる詐欺が原因としていますが、えきねっとのシステム自体にも、セキュリティ対策が甘すぎるのではないかという声があがっています。

私も「えきねっと」の会員になっているため、この記事を読み怖くなったので、ログインしてどういう状況になっているのか確認してみました。

すると、見事にクレジットカード番号が登録されていたので、すぐに削除しておきました。このクレジットカード情報を確認する際には、二段階認証が必要な作りになっているのですが、えきねっとから来るパスコードが書かれたメールがGmailで「迷惑メール」フォルダーに振り分けられました。「以前、迷惑メールと判断されたメールに類似している」という理由で迷惑メールに判定されています。

ぜひ、えきねっとのシステムについて、強固なセキュリティが確保できるよう対応をお願いしたいと思います。