健康管理を支援するポータルサイト「Pep Up」において、第三者による不正ログインが確認されたことが判明。
サービスを提供する「JMDC」によると、私学事業団の利用者3名のアカウントに影響が出た可能性があるという。
今回の不正アクセスは、他サービスから流出したIDとパスワードのリストを用いてログインを試みる「パスワードリスト攻撃」とみられている。
運営側がシステムを監視する中で、同一のIPアドレスから短時間に大量のログイン試行を検知し、調査の結果から不正ログインの痕跡が見つかっている。
JMDCによると、Pep Upのシステム基盤自体への侵入の形跡はなく、ポイントの不正取得などを目的として、推測されやすいパスワードや、複数のサービスで同じパスワードを使い回している利用者が狙われた可能性が高いとのこと。
影響が疑われる3名のアカウントについては、すでにパスワードを強制的にリセットする措置が取られ、本人への連絡も完了しているという。
現時点で、健康診断の結果といった慎重な扱いが求められる個人情報へのアクセスや、ポイントの不正な利用は確認されていない。
JMDCは、今回の不正ログイン被害者がいずれも2段階認証を設定していなかった点を指摘し、利用者に対してセキュリティ強化を強く呼びかけており、具体的な設定方法もweb上で公表している。
JMDCは今後の対策として、メールを用いた2段階認証機能の追加や、認証自体の必須化を予定していると発表。
JMDCは利用者に対し、以下の対策を講じるよう推奨している。
・2段階認証の設定
・パスワードの見直し
他のウェブサービスとは異なる、推測されにくい複雑なパスワードに変更
・ログイン履歴の確認
・身に覚えのないアクセス記録がないか定期的にチェック
・不審な点があれば速やかにパスワードを再設定の上、カスタマーサポートへ連絡
【参考記事】
https://www.pmac.shigaku.go.jp/
