Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Sポイント」会員サイトに約1000万回のログイン試行 - ポイント交換も

阪急阪神ホールディングスとエイチ・ツー・オーリテイリングが展開する「Sポイント」の会員サイトが不正アクセスを受けたことがわかった。一部アカウントでは攻撃者によってログインされ、ポイントの不正交換手続きなどが行われたという。

エイチ・ツー・オーリテイリングによれば、7月24日から8月2日にかけて、大量にログインを試行するブルートフォース攻撃を受けたもの。8月6日に判明した。今回の攻撃では、海外の複数IPアドレスより約1000万回にわたるログインの試行が行われ、本人以外の第三者によって1094件のアカウントがログインされた。

同サイトでは、「ID」にメールアドレスを利用しておらず、「ID」「パスワード」それぞれに任意の8〜32桁の文字列を設定する仕様。今回の攻撃では、同社以外で流出したアカウント情報のリストを用いるいわゆる「パスワードリスト攻撃」ではなく、あらゆる文字列でログインを試行するブルートフォース攻撃だったと同社では見ている。

ログインされた1094件のアカウントにおいて、44件では攻撃者によって他社のポイントへ交換手続きが行われ、その際に会員の氏名や保有ポイント数を閲覧された可能性がある。43件についてはポイントの交換前に処理を停止、1000ポイントが交換された1件に関しても、受け取る側のサイトで交換手続きが完了していないため、攻撃者にポイントは渡っていないという。

同社では、不正アクセスの発信元となったIPアドレスからの通信を遮断し、ログインされたアカウントをロックしてメールにて通知。個人情報が閲覧された44人に対しては電話で連絡を取り、IDとパスワードの変更を依頼した。交換されたポイントについては、受け取り側からの返還の有無に関わらず同社でポイントを補償する方針で、金銭的な被害は生じないとしている。

また今回の不正アクセスを受けて、同社では8月6日よりウェブサイトを停止しており、利用者へ事態をアナウンスするとともに、セキュリティ対策の強化に取り組んでいる。

(Security NEXT - 2020/08/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

LINE利用者のパスワード約7.4万件が特定 - ログイン連携サービスにPWリスト攻撃
SBI証券で偽口座宛に約1億円の不正出金 - PWリスト攻撃増加、警戒中に発覚
ボットアクセスやPWリスト攻撃を遮断するMSS - F5
三越伊勢丹の関連2サイトで約1.9万件の不正ログイン
通販サイト「ショップチャンネル」にPWリスト攻撃
「カメラのキタムラ」で不正ログイン - 不正注文で一部被害も
「ニンテンドーネットワークID」に不正ログイン - 約16万アカウントで
トーラムオンラインにPWリスト攻撃 - 不正ログインが発生
JR東日本「えきねっと」にPWリスト攻撃 - アプリ経由で
クレカ会員向けサイトにPWリスト攻撃 - トヨタファイナンス