「コーナンPay」という聞き慣れないPayサービスからメールが届いた。「コーナンPay」とは詐欺なのか?
「コーナンPay」サービスアカウント発行のご案内メールが2019年7月23日に届いた人が多数いたもようで、心当たりが無いという。
当ウェブサイトは「コーナンPay」とは直接の関わりがありません。「コーナンPay」のメールが届いて不安な人はコーナンへ直接お問い合わせください。
要約ポイント
- 登録した覚えのない「コーナンPay」サービスアカウント発行のご案内メールが届いた人が多く現れました
- 流出メールアドレスとパスワードの組み合わせを調べていた模様(既存会員なら新規登録時にこのアドレスは使われていますと出る)
- 「コーナンPay」はキャッシュアウトのできるサービスのため狙われた可能性
コーナンPayとは
「コーナンPay」はチャージして使える電子マネーで、コーナンで使えます。
実際に「コーナンPay」が使えるお店は、ホームセンターコーナン、コーナンホームストック、コーナンPRO各店で使えるプリペイド方式の電子マネーになります。
コーナンPayアカウント発行のご案内メール
2019/7/23に、登録した覚えのない「コーナンPay」サービスアカウント発行のご案内メールが届いた人が多く現れました。
この「コーナンPay」サービスアカウント発行のご案内メールというのは、アプリで「コーナンPay」を有効にするための認証メールで、
おそらく、不正アクセスを試みた者がいた模様です。
コーナンアプリへのログインが狙われる?
このコーナンには「コーナンPay」の使えるコーナンアプリがあり、こちらでもチャージされているお金が使えるため、どこかで流出したメールアドレス、パスワードの組み合わせを使って、「コーナンPay」にログインを試したと考えられます。
そして、その際に使われたのが新規登録のトライです。
新規登録の手続きをした時に「コーナンPay」をすで登録していると「すでに登録済みのアドレスです」と表示が出るので、既存会員だと判明するのです。
そしてそこから流出パスワードでログインし、チャージ金額で高額転売ができるものを購入、という狙いだと考えられます。
7Payのときと近い手口ですね。
まだこの記事執筆時点では「コーナンPay」ページではとくにアナウンスもされていません。
バーコードが固定・二段階認証なし
別のBlogさんで、「コーナンPayのセキュリティが脆弱だと話題に 決済用バーコードが固定 ログイン時の二段階認証なし」と話題になっていたようです。
二段階認証というのは先日のセブンペイの不正アクセスの件で、改めて重要視されたログイン時の本人認証の種類ですね。
メールが届いたら対処すること
このメールがもし届いているのであれば、なにかしらメールアドレスとパスワードや個人情報がセットになって流出(もしくは販売されている)していると考えられます。
マンガギャングースなど、闇社会、裏社会系のマンガなどを読んだことがある人はピンとくるでしょう。
詐欺をしようとしているひとたちにとっては、セブンペイのように不正アクセス候補になるPAYサービスがでてきたときにまこの「メールアドレス」を使うわけです。
つまり「リスト化」されているわけですね。
いちどこのメールが届いている人は次のことを気をつけたいです。
- パスワードをサービスごとに変更する
- 極力、個人情報やクレカ情報を扱うサービスではこのメールアドレスを使わない
- 新しいメールアドレスを使うようにする
- 不審な利用メールが届いたらスグ確認する
などです。
パスワードをサービスごとに変更するというのは、ひとつのパスワードとメールアドレスの組み合わせが漏れても他のサービスに転用して不正アクセスできないようにするためです。
今回の登録した覚えのない「コーナンPay」サービスアカウント発行のご案内メールが届くという事態は今後も増えるでしょう。
ギャングース
当ウェブサイトは「コーナンPay」とは直接の関わりがありません。「コーナンPay」のメールが届いて不安な人はコーナンへ直接お問い合わせください。
情報まとめ
- 登録した覚えのない「コーナンPay」サービスアカウント発行のご案内メールが届いた人が多く現れました
- 流出メールアドレスとパスワードの組み合わせを調べていた模様(既存会員なら新規登録時にこのアドレスは使われていますと出る)
- 「コーナンPay」はキャッシュアウトのできるサービスのため狙われた可能性
追記:
ヤフー知恵袋サービスにメール文を貼り付けている人がいました。
※リンク先のコンテンツにつきましては当ウェブサイト以外なので責任は持てません。
メール本文をみてみると、Androidアプリのリンクは別ですが、iOSは「https://value-wallet.com」というドメインへリンクがはられているもようです。
「https://value-wallet.com」は、東証マザーズ上場している会社のバリューデザインと、同じく東証一部上場のネオス株式会社のつくっている「バリューウォレット」というサービスです。
「バリューウォレット」は店舗のオリジナルのプリペイド電子マネーを作れるサービスで、おそらく「コーナンPay」はここのサービスを利用して作られているのでしょう。
ということは、メール自体が偽物、ではなく、メール自体は本物で、「コーナンPay」の新規登録画面から送られたメールではあるが、その操作をした人が悪意をもって登録しているというかたちですね。
この「バリューウォレット」の仕様が「5分制限」などで変更されない場合。
アプリで出てくるバーコードの画像を「キャプチャしたもの」を、ツイッターなどで流出させてしまうと、「すでにチャージされている電子マネーで買い物されてしまう」という恐れがあります。
セブンペイはたまたま問題が表面化しただけで、もしかしたら地雷を抱えているナントカPayはたくさんあるのかもしれませんね。