「Sポイント」会員サイトに約1000万回のログイン試行 - ポイント交換も

阪急阪神ホールディングスとエイチ・ツー・オーリテイリングが展開する「Sポイント」の会員サイトが不正アクセスを受けたことがわかった。一部アカウントでは攻撃者によってログインされ、ポイントの不正交換手続きなどが行われたという。

エイチ・ツー・オーリテイリングによれば、7月24日から8月2日にかけて、大量にログインを試行するブルートフォース攻撃を受けたもの。8月6日に判明した。今回の攻撃では、海外の複数IPアドレスより約1000万回にわたるログインの試行が行われ、本人以外の第三者によって1094件のアカウントがログインされた。

同サイトでは、「ID」にメールアドレスを利用しておらず、「ID」「パスワード」それぞれに任意の8〜32桁の文字列を設定する仕様。今回の攻撃では、同社以外で流出したアカウント情報のリストを用いるいわゆる「パスワードリスト攻撃」ではなく、あらゆる文字列でログインを試行するブルートフォース攻撃だったと同社では見ている。

ログインされた1094件のアカウントにおいて、44件では攻撃者によって他社のポイントへ交換手続きが行われ、その際に会員の氏名や保有ポイント数を閲覧された可能性がある。43件についてはポイントの交換前に処理を停止、1000ポイントが交換された1件に関しても、受け取る側のサイトで交換手続きが完了していないため、攻撃者にポイントは渡っていないという。

同社では、不正アクセスの発信元となったIPアドレスからの通信を遮断し、ログインされたアカウントをロックしてメールにて通知。個人情報が閲覧された44人に対しては電話で連絡を取り、IDとパスワードの変更を依頼した。交換されたポイントについては、受け取り側からの返還の有無に関わらず同社でポイントを補償する方針で、金銭的な被害は生じないとしている。

また今回の不正アクセスを受けて、同社では8月6日よりウェブサイトを停止しており、利用者へ事態をアナウンスするとともに、セキュリティ対策の強化に取り組んでいる。

（Security NEXT - 2020/08/12 ） ツイート

PR

関連記事

職員メルアカに不正アクセス、スパム約3万件が送信される - 北海道大病院
統合DBシステムで不正ログイン被害、改ざんも - 上智大
「ETC利用照会サービス」にPW攻撃、約125万件のアクセス
「エン転職」にパスワードリスト攻撃 - 約25万人がアクセス許す
英語検定試験「TOEIC」の申込サイトに大量のログイン試行
「ショップチャンネル」で不正ログイン注文 - 「後払い」を悪用
止まぬPWリスト攻撃 - 他所情報流出の影響で増加傾向も
ニトリにPWリスト攻撃、スマホアプリ経由で - 約13万アカウントがログイン許した可能性
サンドラッグの複数関連サイトにPWリスト攻撃
看護関係者向けサイトへのPWリスト攻撃、調査結果が明らかに - 試行回数は6882万件