Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JR九州の会員サイトにPWリスト攻撃 - ポイント交換被害も

JR九州の会員サイトに対して不正アクセスがあり、本人以外の第三者によって一部会員情報が閲覧されたり、ポイントを交換される被害が発生したことがわかった。

同社によれば、9月13日から15日にかけて、海外の複数IPアドレスを発信元として本人以外の第三者によりログインされる被害が発生したもの。利用者から9月16日朝に「身に覚えのないポイント交換を通知するメールが届いた」との申し出があり、問題が発覚した。

9月23日の時点で、1269件のアカウントが第三者に対してログインを許したことが判明しており、氏名や生年月日、性別などが閲覧された可能性がある。また3100ポイント分の不正交換1件が確認された。これ以外にも6件のポイント交換申請が行われたが、交換完了前に処理を停止したという。

同社は、今回の不正アクセスについてパスワードリスト攻撃であるとの見方を示しており、使用されたIDやパスワードについて、同社以外で入手されたものと説明。同社経由の情報流出については否定した。

同社は、不正アクセスが行われたIPアドレスからのアクセスを遮断し、一部ポイント交換サービスを停止。第三者によってポイントの交換申請が行われた利用者には電話で説明を行い、パスワードの変更を依頼した。

また不正ログインが行われた可能性がある利用者に対しては、メールでパスワードの変更を依頼。会員に対して、パスワードの使い回しを避けるよう注意を呼びかけている。

(Security NEXT - 2020/09/24 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

動画サービス「Hulu」に断続的なPWリスト攻撃
決済サービス連携で2017年7月以降380件約6000万円の被害申告 - ゆうちょ銀
岡三オンライン証券にPWリスト攻撃 - 資産売却や出金被害は未確認
LINE利用者のパスワード約7.4万件が特定 - ログイン連携サービスにPWリスト攻撃
SBI証券で偽口座宛に約1億円の不正出金 - PWリスト攻撃増加、警戒中に発覚
ボットアクセスやPWリスト攻撃を遮断するMSS - F5
「Sポイント」会員サイトに約1000万回のログイン試行 - ポイント交換も
三越伊勢丹の関連2サイトで約1.9万件の不正ログイン
通販サイト「ショップチャンネル」にPWリスト攻撃
「カメラのキタムラ」で不正ログイン - 不正注文で一部被害も