Yahoo! JAPANカード
2021年11月30日に新規のお申し込み受付を終了したカードです。
| 年会費 | 無料 | 追加カード | ETCカード、家族カード |
|---|---|---|---|
| ポイント還元率 | 1.0%〜2.0% | 付帯保険 | - |
| 貯まるポイント | Vポイント | 電子マネー機能 | - |
| 交換可能マイル | ANAマイル | 対応する電子ウォレット | Apple Pay |
お申し込みできないカードです
お気に入りに追加
Yahoo!Japanカードを持っています。
https://tsite.jp/cp/index.pl?xpg=PCIC0102&cp_id=17543
Tサイト公式に9月19日付けで
「【重要】第三者のなりすましによるTポイントの不正利用について」
の案内が出てました。
「 最近、Tポイント提携先にて悪意ある第三者が不正にモバイルTカードを提示して、Tポイントを利用する事象が確認されております。
Tサイト[Tポイント/Tカード]にご登録のお客さまにおかれましては、身に覚えがないポイントのご利用履歴またはログイン履歴がないかどうかご確認お願いいたします。」
これは驚きました。
Tカードは裏にバーコードの印字がないので不正利用されにくいと思われましたが、犯人はどうやって モバイルTカードを使って他人のTポイントを盗むのでしょうか?
考えられるのはYahoo! JAPAN IDのハッキングです。
私の Yahoo! JAPAN IDは他社のサービスとの使いまわしはしておらず専用のIDですしパスコードも個別の物です。
従ってリスト型攻撃で流出する可能性は低いと見ています。
更に2段階認証に設定しており仮にIDとパスワードが漏れたとしても犯人が突破するのは極めて困難と思っています。
重ねて申し上げますが、リスト型攻撃の防止策として
・パスワードを強固なものに変更する
・複数サイトでIDやパスワードの使いまわしをしない
・2段階認証を設定する
・なるべくポイントを貯めない
を徹底するようここの掲示板へ来ている皆さんへもお願い致します。
書込番号:22123940 スマートフォンサイトからの書き込み
7点
今日はウエルシアお客様感謝デーなので買い物に行ったところ、レジに
「モバイルTカードの不正利用」
のポップが掲示されておりました。
モバイルTカードは使用できるが同時にTカード(プラスチックカード)を提示しないと駄目だそうです。
恐らく他人のIDを盗んで不正にモバイルTカードを使おうとする事案が多発しているものと思われます。
この措置で原本を持ってなければ使えないので不正利用の排除に効果的です。
今日はウエルシアしか確認できませんでしたが
https://tsite.jp/r/mb-tcard/web/index.html
モバイルTカード対応店舗は多いです。
この全ての店舗で同様の告知がされて不正利用の排除が徹底されているのですかね?
今度ウエルシア以外の対応店舗へ伺って様子を見てきます。
書込番号:22124746
3点
私は数万ポイントあった(PC1台分に近い)Tボイントを何者かに勝手に全部使われました。毎日アプリを見ているのですぐサポートセンターに連絡しました。不正利用された当日も含め前後は数百km離れた地方のコンビニで頻繁に貯めており大阪にいないのは明らかです。
犯人は大阪府の某E家電量販店で不正利用、私が絶対に利用する事はない、孫さんのS携帯会社IPで数回ログインしております。私も難しいランダムの文字のパスワード+,ワンタイムパスワードを使用してます。某E店はモバイル画面のみで数万円以上の商品を販売したのでしようか?防犯カメラで犯人を特定逮捕し厳罰に処してもらいたいです。
書込番号:22151862 スマートフォンサイトからの書き込み
13点
>荒田さん
ご愁傷様です。
ワンタイムパスワードを設定していても不正利用されたということは犯人はYahoo!IDをハッキングせずに他人のモバイルTカードを使用したのでしょうかね?
サポートセンターに連絡したとのことですが、今回の手口はどう言う経路で侵入したのか教えてもらえましたか?
私も数万ポイント貯めていて使える状態になっているので心配になってきました。
Tカードのサポートセンターに利用停止の手続きをしようか検討中です。
書込番号:22152065 スマートフォンサイトからの書き込み
1点
Tカードのサポートセンターに直接電話して確認しました。
要点をまとめると、
・告知しているモバイルTカードの不正利用はYahoo!IDが盗まれたのが原因。
・Tカード番号のみの盗難ではポイントを溜めることは出来ても使うことは不可能。
・ポイントを使うにはYahoo!IDとの連携が必要だが既に連携済みの場合、解除するまで別のYahoo!IDを連携することは出来ない。
つまり連携済みのTカード番号が盗まれたとしてもYahoo!IDも同時に盗まないとポイントを使うことは出来ません。
これを聞いて安心しました。
現在、Tポイントは10万ポイント以上の残高がありこれを失うと痛手です。
繰り返しになりますが、リスト型攻撃の防止策として
・パスワードを強固なものに変更する
・複数サイトでIDやパスワードの使いまわしをしない
・2段階認証を設定する
・なるべくポイントを貯めない
が最善の策ですね。
自分の場合は最後の「なるべくポイントを貯めない 」がクリアできておらず、ポイントの分散を検討中です。
書込番号:22163988 スマートフォンサイトからの書き込み
6点
yahoo mailには盲点があり2投回認証を設定していてもWebメール機能、スマホ含むに適用されるだけで丶IMAPを利用した通常のメールソフトを利用しサーバーにアクセスしメールを読む事はできます。そこから再設定されてしまいます。尚ポイントは無事もどつてきました
書込番号:22222728 スマートフォンサイトからの書き込み
4点
>荒田さん
ポイントが無事戻ったのですか。
それは良かったです。
今回のTポイント盗難はやはりYahoo!IDのハッキングが原因でYahooメールの脆弱性を悪用されたのですか。
その2段階認証をすり抜ける手口は深刻な脆弱性だと思います。
本件はサポートセンターに報告済でしょうから今後、穴を塞ぐよう対策されるといいですね。
書込番号:22222971 スマートフォンサイトからの書き込み
1点
本日、Tサイトより
【重要】11/15 モバイルTカードセキュリティ強化に際するお願い
の題名のメールが届きました。
11月15日(木)14:00以降、初回のモバイルTカード利用時、本人確認画面でTカード番号や生年月日 の入力が必要になるそうです。
(同一端末での2回目以降の入力は不要)
つまり機種変更時やモバイルTカードのアプリを再インストールした場合は本人確認のための入力が必須となるようです。
この対策は評価できますね。
仮にリスト型攻撃などでYahoo!IDとパスワードが流出してもTカード番号が分からないと使えませんからね。
またTカード番号も同時に盗まれたとしても生年月日が分からないと使えません。
今後の課題は生年月日がばれている身内や親族、友人など知り合いの犯行ですかね?
またFacebookなどで自分の生年月日を一般公開している人は被害に遭う危険性が高いので要注意です。
書込番号:22238698 スマートフォンサイトからの書き込み
1点
当方も本日Tポイントの被害にあいました。
先月に不正ログインを試みたと言う通知が来てたので
シークレットIDにしてても通常IDを入力後に
ログインできない場合のお手続きから
通常IDを入力して突破出来ると言うことを
ヤフー側に脆弱な仕様を指摘しても先月時点では
対策予定はなしと言われました。
折角ヤフーのシークレットIDにしていても
通常IDを入力して再設定と言う項目で
メールアドレス宛に送信されると言う脆弱な仕様ですので
対策としてはメールアドレス宛のログインは設定しない様にする為
登録アドレスは全て解除するにしてもアドレスさえ分かれば
突破されたと言う事になります。
携帯番号宛のワンタイムパスワード(SMS認証)
にしていても意味が無いのを伝えてそのような回答でしたので
ヤフー側の脆弱仕様が浮き彫りに・・・。
不正利用された約38000ポイントが返って来るか不安です(^^;
因みに当方兵庫ですが利用された店舗は東京でした。
書込番号:22253694
2点
モバイルTカード設定済のTポイントアプリを起動しモバイルTカードを表示しようとしたら、Tカード番号と生年月日 の入力画面になりました。
入力後、バーコードが表示されました。
同じ端末では2回目以降、この入力は不要になりますが、別のデジタルTカードアプリでは同じ端末でも入力が要求されました。
この対策でリスト型攻撃での不正利用は排除できそうです。
リスト型攻撃なら犯人が得るのはYahoo!IDとパスワードのみでTカード番号は分かりませんからね。
もっとも身内の犯行だとその限りでがありませんが(汗)。
書込番号:22266503 スマートフォンサイトからの書き込み
1点
>>マグドリ00さん
お聞きしたいのですが。
>モバイルTカード設定済のTポイントアプリを起動しモバイルTカードを表示しようとしたら、Tカード番号と生年月日 の入力画面になりました。
入力後、バーコードが表示されました。
上記のコメント内で不正ログイン後
バーコード画面を保存してた場合
使用は不可なのでしょうか?
それとも以前はyhooと連結してた場合
ログインさえ出来ればTカードの番号入力無しで
使用出来たのでしょうか?
Tアプリを使ってなかったので
使い方の詳細が分からなかったので(^^;
書込番号:22267994 スマートフォンサイトからの書き込み
0点
>SaGa2さん
デジタルTカードはT会員番号とは異なる独自の番号なのでスクリーンショットで保存しても使えないと思います。
https://www.nikkei.com/article/DGXMZO37234060R01C18A1000000/?df=2
日経記事でも
「dポイントと競合する「Tポイント」と「楽天スーパーポイント」は、スマホアプリについてはワンタイム方式のバーコード表示を採用している。仮にスクリーンショットを撮ってスマホの画面に表示しても、コードの有効期限が過ぎていれば使えない。他人のバーコードを偽造してスマホ画面に表示する手口を防ぐ有効な手段だ。」
と書かれております。
つまりワンタイム方式バーコードの楽天ポイントとTポイントは安全、
そのままバーコードを表示するdポイントとPontaは危険ということになります。
今回の対策以前はご指摘の通り、Yahoo!IDとパスワードさえ分かればTカード番号を知らなくてもデジタルTカードのアプリでバーコードを表示できました。
つまりリスト型攻撃の餌食になる危険性が高いわけです。
今回の対策でそのリスクはほぼ無くなり安全性が高まりました。
なお、昨日、ウエルシアと言うTポイント加盟店のドラッグストアに行きましたがレジにデジタルTカードのアプリを使う際に本人確認入力が必要になったというポップが貼りだされてました。
推測ですがウエルシアでも不正利用の事案があったのでしょうかね?
書込番号:22268650 スマートフォンサイトからの書き込み
0点
https://www.nikkei.com/article/DGXMZO42577000W9A310C1AC8000/?n_cid=NMAIL007
犯人が捕まったようですね。
記事では
「他人名義のTポイントを使うために不正入手したバーコードをスマートフォン画面で提示」
と書かれてますが、[22268650]で申し上げた通り、Tポイント番号は他人のバーコードを撮影してそのまま表示させても使えない仕様です。
推測ですが、犯人はリスト型攻撃の手口で他人のYahoo!IDとパスワードを盗みデジタルTカードのアプリでバーコードを表示させたのでしょう。
記事では犯行日が昨年10月12日となっており、ここのスレの初回投稿で申し上げた通り、ユーザーへの告知は昨年9月19日なので危険性を認識していながら犯罪を許してしまったことになります。
対策が間に合わなかったのでしょうかね?
もっともデジタルTカードアプリは11月15日以降、本人確認のための入力が必須となりセキュリティ面での対処がされましたので安心ですね。
書込番号:22539141
0点
このスレッドに書き込まれているキーワード
「PayPayカード > Yahoo!JAPANカード」の新着クチコミ
| 内容・タイトル | 返信数 | 最終投稿日時 |
|---|---|---|
  PayPayカードの突然の利用不可 |
2 | 2023/04/18 14:17:08 |
  「SMS認証の設定」を一度も「利用しない」にすると? |
5 | 2022/12/08 22:23:27 |
 Yahoo!JAPANカードはいつまで使えますか? |
6 | 2022/12/20 21:58:41 |
 ヤフーカード解約をする方はPayPayカード切替停止の手続にて |
0 | 2022/03/24 20:48:13 |
 大っ嫌いなカード会社となりました |
0 | 2022/03/22 17:38:46 |
  ポイントで寄付のいいチャンス |
3 | 2022/03/23 10:51:57 |
| Pay Payカード |
20 | 2021/12/15 19:55:49 |
 まるごとフラットリボキャンペーンについて |
5 | 2021/11/24 18:35:42 |
 フラットリボ5000円キャンペーン 詳細について |
1 | 2021/11/23 20:56:40 |
 リボキャンペーンについて |
0 | 2021/10/31 11:38:45 |
クチコミ掲示板検索
新着ピックアップリスト
価格.comマガジン
注目トピックス
(クレジットカード)
