「Sポイント」会員サイトに約1000万回のログイン試行 - ポイント交換も
阪急阪神ホールディングスとエイチ・ツー・オーリテイリングが展開する「Sポイント」の会員サイトが不正アクセスを受けたことがわかった。一部アカウントでは攻撃者によってログインされ、ポイントの不正交換手続きなどが行われたという。
エイチ・ツー・オーリテイリングによれば、7月24日から8月2日にかけて、大量にログインを試行するブルートフォース攻撃を受けたもの。8月6日に判明した。今回の攻撃では、海外の複数IPアドレスより約1000万回にわたるログインの試行が行われ、本人以外の第三者によって1094件のアカウントがログインされた。
同サイトでは、「ID」にメールアドレスを利用しておらず、「ID」「パスワード」それぞれに任意の8〜32桁の文字列を設定する仕様。今回の攻撃では、同社以外で流出したアカウント情報のリストを用いるいわゆる「パスワードリスト攻撃」ではなく、あらゆる文字列でログインを試行するブルートフォース攻撃だったと同社では見ている。
ログインされた1094件のアカウントにおいて、44件では攻撃者によって他社のポイントへ交換手続きが行われ、その際に会員の氏名や保有ポイント数を閲覧された可能性がある。43件についてはポイントの交換前に処理を停止、1000ポイントが交換された1件に関しても、受け取る側のサイトで交換手続きが完了していないため、攻撃者にポイントは渡っていないという。
同社では、不正アクセスの発信元となったIPアドレスからの通信を遮断し、ログインされたアカウントをロックしてメールにて通知。個人情報が閲覧された44人に対しては電話で連絡を取り、IDとパスワードの変更を依頼した。交換されたポイントについては、受け取り側からの返還の有無に関わらず同社でポイントを補償する方針で、金銭的な被害は生じないとしている。
また今回の不正アクセスを受けて、同社では8月6日よりウェブサイトを停止しており、利用者へ事態をアナウンスするとともに、セキュリティ対策の強化に取り組んでいる。
(Security NEXT - 2020/08/12 )
ツイート
関連リンク
PR
関連記事
動画配信サービス「Hulu」にPWリスト攻撃 - 強制リセット実施
ゴルフダイジェストにPWリスト攻撃 - 閲覧や改ざんの痕跡なし
PWリスト攻撃で一部「LINE公式アカウント」が乗っ取り被害
WordPressプラグインの同時多発改ざん、PWリスト攻撃に起因
「mixi」にPWリスト攻撃 - 2月から3月にかけて発生
職員メルアカに不正アクセス、スパム約3万件が送信される - 北海道大病院
統合DBシステムで不正ログイン被害、改ざんも - 上智大
「ETC利用照会サービス」にPW攻撃、約125万件のアクセス
「エン転職」にパスワードリスト攻撃 - 約25万人がアクセス許す
英語検定試験「TOEIC」の申込サイトに大量のログイン試行