(1) 被害状況

• 被害を受けたWebサイト　CLUB Panasonic
  • 不正ログイン被害件数：78,361件
  • ログイン試行回数　約460万件を超える
  • ログイン試行日数　約30日間（日割単純計算で1日あたり15.3万回以上）
  • ログイン成功率　1.7％
  • 会員数　約650万人*1

• 流出した可能性のある情報
  • 氏名
  • 住所
  • 電話番号
  • 性別
  • 生年月日
  • ログインID
  • メールアドレス
  • ニックネーム
  • 携帯電話用メールアドレス(登録していた場合)
  • 職業(登録していた場合)
  • 居住状態(登録していた場合)
  • 家族構成(登録していた場合)
  • 共稼ぎ状況(登録していた場合)
  • 興味のあるカテゴリー(登録していた場合)

• 2014年4月23日現時点で悪用は確認されていない。*2
• クレジットカード番号は画面に表示されることはない。*3

(2) 発端

• 4月18日 短時間にアクセスが集中したため。*4
• 外部からの不正ログインの形跡を発見したため。

(3) 原因

• リスト型攻撃の可能性
  • ログイン試行は不特定多数のIPアドレスから行われていた
  • ログイン試行は断続的・機械的に行われた
  • ログイン試行にはCLUB Panasonicで使用を認められていないもの*5を含むIDが使用されていた

(4) 対応・対策

• 対応
  • 不正ログインに関する発表
  • 個人情報確認画面へのアクセス停止
  • 不正ログインが行われたアカウントをロック
  • 不正ログインが行われたアカウントへパスワード変更のお願いを連絡(メール)
  • 不正ログインが行われていないユーザーへも注意喚起を連絡(メール) *6

• 対策
  • 画像認識によるログイン機能を追加する
  • 以下の注意喚起を行う
    • パスワード使いまわしを行わない
    • 定期的にパスワードを変更する
    • 過去に使用したパスワードは極力使用しない
    • 第三者が容易に推測可能なパスワードは使用しない

(1) ログインに必要な情報

• ログインID、またはメールアドレス
• パスワード
• 今後、画像認識機能が追加実装される予定。

2014年4月23日現在のCLUB Panasonicのログイン画面

(2) 簡単ログイン設定時

• 次回以降のログイン時ID入力を省略
• 最大2週間ログイン状態を維持

(3) ログインID・パスワードポリシー

• ログインID
  • 半角英数字記号
  • ６〜１６文字
  • 使用可能な記号 ハイフン(-)、アンダースコア(_)、アットマーク(@)
  • 英字必須
• パスワード
  • 半角英数字
  • ８〜１６文字
  • 英数字両方必須

(1) エンジョイポイント

• ログイン等様々な行為に応じてポイントが加算される。
• ポイントをためるとPanasonic製品の抽選に応募することが出来る
• 金券との交換サービスはない。

(2) ショッピングポイント

• Panasonic Storeで購入することでポイントが加算される。
• Panasonic Store以外で利用する事は出来ない
• Panasonic Store利用時に1ポイント1円として利用できる。
• 金券との交換サービスはない。