Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

九電子会社のリサーチサービスに不正ログイン - ポイント交換10倍で発覚

九州電力子会社が運営するインターネットリサーチサービス「ヒアコン」において、「パスワードリスト攻撃」と見られる不正ログインが発生した。モニターの保有ポイントが不正に交換される被害も確認されている。

同サービスでは、アンケートの回答実績に応じて「ヒアコンポイント」を付与しているが、同サービスを運営するキューデンインフォコムによれば、12月1日に11月の交換件数を確認したところ、通常の10倍以上と異常な値を示していることに気が付いたという。

不審な交換も確認されたことから、12月2日にサービスを一時停止。調査を行ったところ、利用者以外の第三者が行ったと見られる不正ログインの被害が発生していることが判明した。

同社が、アクセスログを解析したところ、ログインの試行件数は316万1872件にのぼり、1320件のアカウントでログインが成功していた。

さらに不正ログインされたアカウントのうち、291件でポイントが不正に交換されていた。登録されている個人情報が不正に閲覧された形跡は残っていなかったという。

全登録モニターにパスワードの使い回しはしないよう注意を呼びかけるとともに、同月8日に警察へ被害届を提出。プライバシー認定機関に報告した。ポイント交換の被害に遭ったモニターに対しても別途連絡を取る。

またログインパスワードの再設定や、システムの監視強化、ポイント交換時に本人認証を追加するなど再発防止策を講じたうえで、24日にサービスを再開している。

(Security NEXT - 2014/12/25 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

公共施設予約システムへの不正ログイン試行で告訴 - 川崎市
Pマーク事業者による個人情報事故、2019年度は2543件
「Emotet」だけじゃない - メール返信偽装、PW付zipファイル悪用マルウェアに要警戒
UCSカード利用者を狙うフィッシング - 目立つ不自然な日本語、簡体字も
セシール通販サイトに33件のPWリスト攻撃 - アカウント1件がログイン許す
セキュリティ相談が1.8倍に - 「Emotet」関連や「不正ログイン」相談が急増
東電会員サイトにPWリスト攻撃 - 新規会員登録の機能を悪用か
動画サービス「Hulu」に断続的なPWリスト攻撃
川崎市で野球場予約に大量の申込 - 同一IPアドレスから1日に約2万件
「mijicaカード」不正送金、被害者のいずれも不正ログイン被害か