航空会社のマイルやホテルのポイントが、ハッカーに狙われ始めた理由

不正マイル交換に注意?

マイル口座を狙ったなりすまし詐欺にご注意ください

先週、ANAから「マイル口座を狙ったなりすまし詐欺にご注意ください」という件名のメールがきた。
同様のメールはこれが初めてではない。
また、ANAの公式サイトでも同様の注意メッセージは、以前から表示されている。

しかし、よくよくANAからのメールを読むと、イマイチどういう背景で、何を警告したいのかハッキリしない。
そのため、ちょっと自分でも確認しようと思ってみた次第。

ANAからきたメールの文面は、以下の通り。

件名: 【注意喚起】マイル口座を狙ったなりすまし詐欺(不正マイル交換)にご注意ください

【重要なお知らせ】
マイル口座を狙ったなりすまし詐欺(不正マイル交換)にご注意ください
平素より弊社便ならびにANAマイレージクラブをご利用いただき、誠にありがとうございます。
現在、各国でマイル口座を狙ったなりすまし詐欺が発生しております。
不正なアクセスを回避するために、パスワードは定期的にご変更をお願いいたします。
第三者に推測されやすいパスワード(「お名前」「生年月日」「電話番号」など)は避け、他社のウェブサイトやサービスで設定したパスワードとは異なるパスワードを設定してください。

https://www.ana.co.jp/ja/jp/amc/news/info/touroku_teikikoushin.html

このメールから読み取れるポイントは、3つある。

  • 問題は「なりすまし詐欺」(不正マイル交換
  • つまり、他人によって自分のマイルが他人の特典航空券として使われたり、他人の他社ポイントに交換されたりする可能性がある
  • そうしたマイル盗難は、世界各国で発生している

「各国で増加」・・・。
ホントかしら。

しかし、少しググってみたところ、そういう犯罪は確かにグローバルで増加傾向にあるというのが分かった。

なぜポイント・マイルが狙われるのか

2019年後半から、企業の発行するポイント・マイルが「サイバー犯罪のターゲットとして流行り始めている」というレポートが、各機関から出され始めていたようだ。
そういった犯罪は昔から可能ではあったが、特に2019年頃から増加傾向にある、と。

以下は、2019年~2020年に出た各種機関のリリース・講演を元にした記事。

Imagine logging into your airline frequent flyer account and—after years of saving to claim a free flight—you find a balance of zero miles.
Sadly, with an estimated 14 trillion frequent flier miles and hotel points floating around unused,~
Scammers can easily purchase frequent flyer account usernames and passwords on the dark web due to numerous data breaches in which this sensitive info was compromised. 

航空会社のWEBサイトにログインして特典航空券を発行しようとしたら、マイル残高がゼロになっていることに気付いたというシナリオを想像してみてください。(中略)
悲しいかな、世の中には14兆ほどの未使用マイルがある一方、ハッカーはダークウェブで簡単に会員のログインIDとパスワードを購入できる。

fraud.org:Scammers ruining travel plans by stealing victims’ frequent flyer miles

※The Loyalty Security Association (LSA)より
The average price per point on the dark web was 5.8% of the real value. In other words, points are being sold for a 94% discount on the dark web.

21 different airlines were captured in the sample. Many were low cost domestic carriers that are more highly targeted for fraud because the rewards programs are less fleshed out and under-protected.

ダークウェブで売られているポイントの平均価格は、リアル価格の5.8%ほどである。つまり94%ディスカウントで購入できる。
(中略)
ダークウェブでは21の航空会社のポイント・マイルが売られていた。その多くは米国内のLCCで、そうしたLCCはデータの保護が緩く気付かれにくいので、特に盗難のターゲットとなっている。

Emerging Trends in Loyalty Fraud

Rewards points are a goldmine for crooks. They’re easy to access, very easy to use or transfer, and victims rarely check their accounts, so criminals flock to this type of crime without fear of consequences.

ポイントはハッカーにとって金脈だ。簡単にアクセスできて、利用・交換の手続きが容易で、盗まれた人は滅多にアカウント口座をチェックしないので、気付かれにくい。

Hackers are stealing loyalty rewards. Are your air miles or hotel points at risk?

Latest targets of fraudsters are hotel and airline loyalty points.
Once in possession of a person’s loyalty information, fraudsters can transfer points to their own accounts for direct purchases of services such as flights and hotel rooms, said Cornelius Hattingh, ARC’s director of revenue integrity. 

航空会社やホテルは格好の狩り場だ。
ID・パスワード・個人情報をゲットしたハッカーは、航空会社やホテルの公式サイトにアクセスし、簡単にポイントやマイルを利用できるようになる。

Latest targets of fraudsters are hotel and airline loyalty points

まぁ、クレジットカードの情報を盗んでも、最近はクレカのシステムで不正利用を検知されたりするワケですが・・・
クレジットカードを不正利用された。「不正検知システム」の連絡からカード停止・再発行までの流れ。

ポイント・マイルについては、システム的にそういうこともしてないでしょうから、ハッカー的に狙いやすいんでしょうね。

マイルやポイントが狙われやすい理由は、そうした企業側のシステム面での緩さのほかにも、たくさんありそう。

まず盗まれた方も、ポイント・マイルについては現金より気付きにくい。
クレカや銀行のパスワードを定期的に更新するような人達でも、企業のWEBサイトについては安易なパスワードをずっと使ってそう。
などなど。

そうして今は、ポイント・マイルがハッカーのターゲットとして流行っている、と。

実際にマイルやポイントを盗まれた人達

実際にマイルやポイントを盗まれた人達の情報も、ちらほら見かける。

以下は、ヒルトンのポイントを24万ポイント盗まれた人の話。
誰かによってポイントを不正利用(Amazonで買物/ヒルトンのポイントはAmazonで利用できる)されたものの、ヒルトンに連絡したらポイントが戻ってきたとのこと。
My Hilton Honors points were stolen. What now?

以下は、サウスウェスト航空のマイルを盗まれた人が、サウスウエスト航空の掲示板で有識者に復旧策を質問しているスレッド。
結局、マイルは戻ってこなかった(サウスウェスト航空の規約では、不正サクセスで盗まれたマイルの責任は、サウスウェスト航空にはない)。
SouthWest Hacker stole points

The terms and conditions of the Rapid Rewards program specifically state: Southwest Airlines is not responsible for unauthorized access to a Member’s Account and will not replace stolen points or awards.

https://community.southwest.com/t5/Rapid-Rewards/Hacker-stole-points/td-p/87378#

まぁ、他にも事例はいろいろあると思いますが。

なんていうか、気をつけるしかないですね。

  • 安易なパスワードにしない
  • パスワードを定期的に更新する
  • 他で使っているパスワードを使い回さない

ほい。

そんな感じ。

この記事を書いた人 Wrote this article

tonogata
TOP