Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

九電子会社のリサーチサービスに不正ログイン - ポイント交換10倍で発覚

九州電力子会社が運営するインターネットリサーチサービス「ヒアコン」において、「パスワードリスト攻撃」と見られる不正ログインが発生した。モニターの保有ポイントが不正に交換される被害も確認されている。

同サービスでは、アンケートの回答実績に応じて「ヒアコンポイント」を付与しているが、同サービスを運営するキューデンインフォコムによれば、12月1日に11月の交換件数を確認したところ、通常の10倍以上と異常な値を示していることに気が付いたという。

不審な交換も確認されたことから、12月2日にサービスを一時停止。調査を行ったところ、利用者以外の第三者が行ったと見られる不正ログインの被害が発生していることが判明した。

同社が、アクセスログを解析したところ、ログインの試行件数は316万1872件にのぼり、1320件のアカウントでログインが成功していた。

さらに不正ログインされたアカウントのうち、291件でポイントが不正に交換されていた。登録されている個人情報が不正に閲覧された形跡は残っていなかったという。

全登録モニターにパスワードの使い回しはしないよう注意を呼びかけるとともに、同月8日に警察へ被害届を提出。プライバシー認定機関に報告した。ポイント交換の被害に遭ったモニターに対しても別途連絡を取る。

またログインパスワードの再設定や、システムの監視強化、ポイント交換時に本人認証を追加するなど再発防止策を講じたうえで、24日にサービスを再開している。

(Security NEXT - 2014/12/25 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

アルペンにPWリスト攻撃 - 攻撃者は複数店舗でポイント使用
「カテエネ」不正ログイン、78件があらたに判明 - ポイント交換も
中部電力「カテエネ」に不正ログイン - ポイント交換申請など発生
2019年3Qのセキュリティ相談、1年ぶりに3000件以下に
niconicoにパスワードリスト攻撃 - 不正ログイン検出
スターバックスにPWリスト攻撃か - 一部で不正ログイン
Pマーク事業者の個人情報事故は2323件 - 「目的外利用」の報告が増加
セシールに17回のPWリスト攻撃 - 一部でクレカ情報削除
ネットサービスの多要素認証、設定手順を解説 - IPA
クレカ会員向けサービスにPWリスト攻撃、ポイント交換も - ジャックス