Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

九電子会社のリサーチサービスに不正ログイン - ポイント交換10倍で発覚

九州電力子会社が運営するインターネットリサーチサービス「ヒアコン」において、「パスワードリスト攻撃」と見られる不正ログインが発生した。モニターの保有ポイントが不正に交換される被害も確認されている。

同サービスでは、アンケートの回答実績に応じて「ヒアコンポイント」を付与しているが、同サービスを運営するキューデンインフォコムによれば、12月1日に11月の交換件数を確認したところ、通常の10倍以上と異常な値を示していることに気が付いたという。

不審な交換も確認されたことから、12月2日にサービスを一時停止。調査を行ったところ、利用者以外の第三者が行ったと見られる不正ログインの被害が発生していることが判明した。

同社が、アクセスログを解析したところ、ログインの試行件数は316万1872件にのぼり、1320件のアカウントでログインが成功していた。

さらに不正ログインされたアカウントのうち、291件でポイントが不正に交換されていた。登録されている個人情報が不正に閲覧された形跡は残っていなかったという。

全登録モニターにパスワードの使い回しはしないよう注意を呼びかけるとともに、同月8日に警察へ被害届を提出。プライバシー認定機関に報告した。ポイント交換の被害に遭ったモニターに対しても別途連絡を取る。

またログインパスワードの再設定や、システムの監視強化、ポイント交換時に本人認証を追加するなど再発防止策を講じたうえで、24日にサービスを再開している。

(Security NEXT - 2014/12/25 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

モバイルアプリ向けに不正検知SDKを提供 - セキュアブレイン
IPA、2021年前半の被害届出127件を公開 - ランサムや認証突破など
「KLab ID」で不正ログイン - 新規登録機能で攻撃対象を絞り込み
2021年2Qのセキュ相談12%増 - 偽宅配業者SMS関連が大幅増
なりすましによる不正ログインを確認 - TSUTAYA
約1万件の契約者IDで不正ログイン - セゾン自動車火災保険
ログイン情報だまし取る「偽メルカリ」に注意 - メルペイ決済で悪用被害も
ディノス通販サイトに1605回のログイン試行 - 41件で不正ログイン
約3分の1の企業がIoTやOTでセキュリティ事故を経験
フィッシング被害者などで不正取引が発生 - レイクALSA