BF攻撃で顧客アカウントに不正ログイン、Sポイントメンバーサイト



画像:エイチ・ツー・オー リテイリング株式会社より引用

エイチ・ツー・オー リテイリング株式会社は2020年8月11日、同社が阪急阪神ホールディングス株式会社と共同でサービスを展開する「Sポイントメンバーサイト」が外部からのサイバー攻撃を受け、サービス利用者のアカウント1,094件についてID・パスワードの一致する不正ログインが発生したと明らかにしました。

同社によると、サイバー攻撃が発生したのは7月24日~8月2日とのこと。

攻撃者は「Sポイントメンバーサイト」のログイン画面に、ブルートフォースアタックと呼ばれる総当たり形式のサイバー攻撃を仕掛けることで顧客のアカウントに侵入、被害アカウントのうち一部のポイントを使用し、他社ポイントなどを入手していたとしています。

不正交換被害には直接通知か

エイチ・ツー・オー リテイリング株式会社は事案発生に直面し、Sポイントメンバーサイトを一時休止した上で、不正ログインのアクセス元IPを遮断するなど、被害拡大の抑止に動いています。

同社は顧客対応として、ポイントの不正交換など特に深刻な被害が懸念される44名の会員について、個別に電話で連絡し、パスワード変更の要請や経緯の説明を実施したとのこと。他のID・パスワードが一致したに留まるアカウントユーザーについても、アカウントロック措置を講じた上で、電子メールで連絡したとしています。

なお、今回の事案による被害規模は次の通りです。

参照Sポイントメンバーサイトにおける不正アクセスと被害について/エイチ・ツー・オー リテイリング株式会社