Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JR九州の会員サイトにPWリスト攻撃 - ポイント交換被害も

JR九州の会員サイトに対して不正アクセスがあり、本人以外の第三者によって一部会員情報が閲覧されたり、ポイントを交換される被害が発生したことがわかった。

同社によれば、9月13日から15日にかけて、海外の複数IPアドレスを発信元として本人以外の第三者によりログインされる被害が発生したもの。利用者から9月16日朝に「身に覚えのないポイント交換を通知するメールが届いた」との申し出があり、問題が発覚した。

9月23日の時点で、1269件のアカウントが第三者に対してログインを許したことが判明しており、氏名や生年月日、性別などが閲覧された可能性がある。また3100ポイント分の不正交換1件が確認された。これ以外にも6件のポイント交換申請が行われたが、交換完了前に処理を停止したという。

同社は、今回の不正アクセスについてパスワードリスト攻撃であるとの見方を示しており、使用されたIDやパスワードについて、同社以外で入手されたものと説明。同社経由の情報流出については否定した。

同社は、不正アクセスが行われたIPアドレスからのアクセスを遮断し、一部ポイント交換サービスを停止。第三者によってポイントの交換申請が行われた利用者には電話で説明を行い、パスワードの変更を依頼した。

また不正ログインが行われた可能性がある利用者に対しては、メールでパスワードの変更を依頼。会員に対して、パスワードの使い回しを避けるよう注意を呼びかけている。

(Security NEXT - 2020/09/24 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

職員メルアカに不正アクセス、スパム約3万件が送信される - 北海道大病院
統合DBシステムで不正ログイン被害、改ざんも - 上智大
「ETC利用照会サービス」にPW攻撃、約125万件のアクセス
「エン転職」にパスワードリスト攻撃 - 約25万人がアクセス許す
英語検定試験「TOEIC」の申込サイトに大量のログイン試行
「ショップチャンネル」で不正ログイン注文 - 「後払い」を悪用
止まぬPWリスト攻撃 - 他所情報流出の影響で増加傾向も
ニトリにPWリスト攻撃、スマホアプリ経由で - 約13万アカウントがログイン許した可能性
サンドラッグの複数関連サイトにPWリスト攻撃
看護関係者向けサイトへのPWリスト攻撃、調査結果が明らかに - 試行回数は6882万件