ソニーマーケティングの会員サイト「ソニーポイントサービス」が不正ログインを受けたと発表しました。ここではその関連情報をまとめます。
概要
ソニーマーケティングの会員向けサイト「ソニーポイントサービス」がなりすましによる不正アクセスを受け、273件のアカウントが不正にログインがされた可能性があります。ソニーマーケティングは2011年6月にも不正ログインが発生していますが、関連性については明らかにされていません。また前回よりも被害規模は大きくなっています。
(1) 被害状況
- 被害を受けたWebサイト ソニーポイントサービス(My Sony Club)
- 不正ログイン被害件数:273件
- ログイン試行回数 未発表
- ログイン試行日数 約10日間
- ログイン成功率 不明(試行回数未発表のため)
- 会員数 約800万人*1
情報漏えいの被害
- ソニーポイントサービスからメールアドレス、パスワードの漏えいの証跡は確認されていない。
- 不正ログインされた後に、当該ポイントサービス上から漏れた可能性については特に言及されていない。
- 当該サービスから氏名、住所、メールアドレス、MySonyIDなどを閲覧することは可能。
金銭的な被害
- ソニーポイントが不正に交換された。
- 被害を受けたポイント:753000ポイント(約75万3千円相当)
- 被害を受けたポイントは後日返金される予定。
- プレイステーションストアチケット、mora music cardIDに好感された。
(2) 発端
- 身に覚えのない「ポイント交換」通知するメールが届いたとユーザーから申告があったため。
(3) 原因
- 第三者による不正なアクセス試行
(4) 対応・対策
対策
- 不正アクセス試行の予防
- 不正アクセスの検知の強化
- 個別取引の監視体制の強化
- 警視庁への被害届の検討*2
- 以下の注意喚起をユーザー全員に呼びかけ。
- 定期的にパスワードを変更する
- 安全なパスワード管理について周知
インシデントタイムライン
- 2014/04/19〜04/29
- ソニーポイントサービスに対して不正ログインが行われる
- 2014/04/25
- ユーザーから不正なポイント交換について申告
- 2014/05/02
- ソニーマーケティングが不正ログインについて発表
ログイン仕様
ログインID(MySonyID)
- 英数字12文字@英数字4文字で構成
- MySonyIDはシステム側にて生成される
- MySonyID確認機能では氏名、メールアドレスが必要
- 顧客登録情報の変更画面にてIDを確認することが可能
- MySonyIDには登録したメールアドレスが使用可能
パスワード
- 半角英数字
- 6文字〜10文字
- 英数字の組み合わせ必須
更新履歴
- 2014/05/03 PM 新規作成
*1:ソニーのポイント、不正使用で75万円分被害,朝日新聞,2014/05/03アクセス:魚拓
*2:不正アクセスでポイント消失 ソニー被害、総額75万円相当,北海道新聞,2014/05/03アクセス:魚拓