ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

JR九州の会員向けサイトに不正ログイン 個人情報1200件が閲覧された可能性 ポイントの不正交換も

» 2020年09月24日 16時08分 公開
[吉川大貴ITmedia]

 JR九州は9月23日、「JR九州Web会員向けサービスサイト」が不正ログイン被害に遭い、1269件の会員情報を盗み見られた可能性があると発表した。不正ログインは13〜15日にかけて発生。会員の氏名、生年月日、性別を閲覧された恐れがあるという。

 このサイトでは会員登録したユーザーに、列車のネット予約サービスやポイントの交換サービスなどを提供している。今回の攻撃では、同社のポイント「JRキューポ」(3100ポイント)が、連携する他社のポイントと不正に交換される被害も1件あった。

photo JRキューポのサービスサイト

 9月16日に会員から「身に覚えのないポイント交換を通知するメールが届いた」と報告を受け、調査したところ、海外のIPアドレスからの不正ログインを確認した。JR九州は、今回の不正アクセスが他社から流出したIDやパスワードを使った「リスト型攻撃」であると推測している。

 被害を受け、JR九州はサイトのポイント交換サービスを停止。当該のIPアドレスを遮断するなどの対応を取った。個人情報を閲覧された可能性のある会員や、不正なポイント交換が試みられた会員にはすでに連絡し、パスワードの変更を促したという。

Copyright © ITmedia, Inc. All Rights Reserved.