Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

アニメイトの不正ポイント利用事件について考えてみた。

アニメイトで従業員が不正に客のポイントを使って解雇された件が、12/8のスポニチ記事に出ていましたので、つぶやいてみます。

www.sponichi.co.jp

公式発表

 

この度、アニメイト従業員により、お客様のポイントを無断で不正使用したという事実が判明いたしました。

被害状況や犯行手口などの調査を行い、被害を受けられたお客様は全て確認がとれております。
現在個別にご連絡を差し上げ、深くお詫び申し上げますとともに、被害ポイントの返還についてご説明をさせていただいております。 引用:アニメイト リリース文

 

公式発表を見る限りでは、どんな手口で当該の店員がポイントを不正に使ったのか分かりません。例えばローソンの事件の場合は、お客がポイントカードを持ってない場合に、自分のカードにポイントを付与するやり方でしたが、

nlab.itmedia.co.jp

スポニチ記事には、ネット上の情報として、

インターネット上の書き込みによると「会計後にレシートを再発行」「カード番号をメモ」などの手口が報告されている。 引用:スポニチ記事

と書かれていました。インターネット上(Twitter)の書込みを探してみたのですが、被害を受けたとされる方のTwitterアカウントを調べて、つぶやきを調べても、削除されたのか情報掲載は確認できませんでした。(アニメイトからの連絡受けて削除、あるいはTwitterのネガティブなDMを受けて削除でしょうか・・・)

 

真偽の程はわかりませんが、Twitterの情報を受けて転載されているサイトを見る限り、会員証(クラブアニメイト)の番号をレシート(会員番号が全桁表示されている)から読み取り、その会員番号をバーコード印字し、別の会員証の上に貼り付ける手法で、不正を成立させていたようです。

 

考え方はカード偽造の方法ですね。

 

これには、いくつかの対抗手段が考えられますが、一番簡単なのは

①レシート上のフル桁の会員番号を一部マスキング する事だと思います。

 (クレジットカード利用時のレシートはカード番号の下4桁表示が一般的です)

ですが、POSレジのプログラム改修が必要ですので(それでもやるべきだと思いますが)、予算や諸々の事情で改修に時間がかかる場合は、

②店員を教育し、偽造カードを見破る手順をオペレーションに入れる 事です。

これは偽造紙幣を店員が見破る手段と同じで、まず目で確認(視認)する事、そして更に加えて会員証のバーコード部分を手で擦るだけです。真正カードの上に偽造バーコードが貼り付けられている場合、どうしても凸凹が出ます。目の確認で仮に見落とされたとしても、指先は意外とこうした凸凹を判別しますので、それなりの確率で不正を検知してくれると思われます。

最後に、②を暫く続ける場合、

③監視カメラ映像を定期的にチェックする 事を併用した方が良いかも知れません。レシートを読み取っている怪しげな店員を、店員の監督者である店長辺りが定期的にチェックする(けん制する)事がなかったのが、内部犯行を呼んだ遠因かもしれません。

 

④・・だとバーコードの会員証からICカードにしてしまえ・・的な考えもあるのですが、これは単なる会員証では難しいかも知れません。確かマイナンバーカードが民間開放も可能となっていたはずなので、ICカードコストを相乗りする事で相殺する事も考えられなくはありませんが、、、、アニメイトの顧客とマイナンバーカードは客層がまったく・・・ゴホゴホ。 やはり①を早く実装するほうが現実的な解ではないでしょうか。

 

 

f:id:foxcafelate:20171210160353p:plain

 

 

更新履歴

  • 2017年12月10日 PM(予約投稿)