twitterで話題のUSJ出禁問題まとめ

twitterで年間パスポートのチケット転売を疑われて出禁になったということが話題になっています。

年間パスポートを購入している人は同様の被害に合う可能性がないとも言い切れない状況のため、状況を把握しておいたほうがいいかもしれません。


年間パスポートの入場券転売を疑われて出禁になった
本人は転売を否定
予約履歴にあった日付の転売をUSJ側が確認している

ということのようです。

このツイート以外のリプライなどを含めたものを、別の方がまとめたものがあります。

 

 

情報が足りないので、ここからは推測を交えてまとめていきます。

おそらくUSJ側は、単純に連日チケットの予約を入れている人を抽出し、フリマへ出品された日付と突き合わせて合致しているかを確認しただけだと思われます。フリマへの出品情報だけでは出品者個人を特定できませんし、そのチケットがどのアカウントのチケットであるかも特定することはできないでしょう。転売されたチケットを購入すればどのアカウントのものなのかを特定することはできるかもしれませんが、USJ側がそこまでしていたかどうかはわかりません。

こうなってしまった要因は下記の2つのどちらかが考えられます。

一つは、なんらかの原因により、この方のアカウントに不正にログインされてしまったということです。年間パスポートは、アカウントにログインされてしまうと他の人でもチケットを発行し、使用することが可能だそうです。普段は顔認証があるため大丈夫ですが、ハロウィン期間中は顔認証を行っていないそうで、チケットさえあれば誰でも入場することが可能なので、他人のアカウントに不正ログインしてチケットを発行し、それを転売するということが可能なようです。

不正アクセスといえばパスワードの流出が主な原因となりますが、流出元はUSJのシステムであるわけではありません。他のシステムから流出したリストを他のシステムに使ってみるといった攻撃手法もあるため。パスワードを使いまわしていたりすると容易に被害にあってしまいます。USJからパスワードの流出があったという証拠でもない限り、この場合はUSJ側に落ち度はありません。

 

もう一つは、USJのチケットシステムの仕様に問題があったという可能性です。

ツイートを追っていくと、気になるものがありました。

入力が必要なのは年間パスポートの番号と、有効開始日だけということと、パスポート番号の末尾2桁が間違っていてもログインできてしまうということで、パスポートの番号が近ければ有効開始日が同じ、または近い日付にシステム上なっていると推測されます。

これが本当であれば、番号の総当りによるパスポートの不正使用がかなり容易に行えることになりますので、USJ側のシステム設計上の不具合と言えるでしょう。この場合、年間パスポートの購入済みである場合は防衛の手段がなく、このツイートが話題になったことにより被害が拡大する恐れもあります。

できることといえば、予約履歴を細かくチェックして見に覚えのないものがあったらすぐにUSJに被害報告をするということでしょうか。

USJの年間パスポート購入している方は、被害に巻き込まれた場合に備えて続報をチェックしていく必要があるでしょう。

 

 

 

コメント

タイトルとURLをコピーしました