ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-08-19

Suicaポイントクラブへ行われた不正ログインについてまとめてみた

| 08:21 |  Suicaポイントクラブへ行われた不正ログインについてまとめてみたを含むブックマーク

8月18日に東日本旅客鉄道(以下JR東日本と記載)が同社の電子マネーサービス「Suicaポイントクラブ」において、不正ログインがあったことを発表しました。ここではその関連情報をまとめます。

公式発表

(1) 被害状況

不正ログインの被害状況
不正ログイン被害件数756件(アカウント)
ログイン試行回数約296,000回
ログイン試行日数2014年8月15日1時29分〜5時35分(約4時間)
ログイン成功率約0.3%
会員数約189万人*1
流出した可能性のある情報
  • 不正ログインを受け、個人情報が閲覧された可能性がある。
    • 当初個人情報の漏えいはないとされていたが、その後漏えいした可能性があると報じられている。*2
  • 登録された情報の改ざん2014年8月18日時点で確認されていない。
  • ログインが出来ていないため以下全て閲覧可能かどうかは未確認。新規登録時に必要となる情報は以下の通り。
    • SuicaID番号
    • Suica種別
    • 氏名(漢字)
    • 氏名(カナ)
    • 氏名(ローマ字)(任意)
    • 性別
    • 生年月日
    • メールアドレス(PC)(PC/携帯どちらか必須)
    • メールアドレス(携帯)(PC/携帯どちらか必須)
    • 提携ポイントとの交換設定
    • 住所
    • 電話番号
金銭的被害
  • JR東日本の調査によればなりすましによるポイントの不正利用は2014年8月18日発表時点で確認されていない。

(2) 発端

  • 通常にはない大量のアクセスをJR東日本が確認したことによる。

(3) 原因

  • 不明

(4) 対応・対策

(5) インシデントタイムライン

日付出来事
8月15日 1時29分Suicaポイントクラブへ不正ログインを試行するアクセスが開始される
8月15日 5時35分JR東日本が不正ログイン発生を受けサービスの一部機能を停止
8月18日JR東日本が不正ログイン被害について発表
8月18日 12時Suicaポイントクラブの一部機能の利用が再開される
8月18日 18時〜JR東日本が特定時間におけるSuicaポイントクラブの一部サービスの利用を停止する対応を開始

(6) ログイン仕様

ログインID
  • 任意の文字列を設定可能
  • 半角英数字記号
  • 6〜40桁
  • 英大小文字は区別される
パスワード
  • 半角英数字
  • 6〜100文字
  • 英大小文字は区別される

過去の同社サービスの不正ログイン被害

2013年3月31日「My JR-EAST」への不正ログイン
不正ログイン被害件数97件(アカウント)
ログイン試行回数約26000回
ログイン試行日数2013年3月31日12時26分〜13時52分(約1時間半)
ログイン成功率約0.4%
2014年3月16日 「Suicaポイントクラブ」への不正ログイン
不正ログイン被害件数約1万9000件(報道発表による)
ログイン試行回数約94万回
ログイン試行日数2014年3月16日17時07分〜17日10時24分(約17時間半)
ログイン成功率約2%

更新履歴