8月18日に東日本旅客鉄道(以下JR東日本と記載)が同社の電子マネーサービス「Suicaポイントクラブ」において、不正ログインがあったことを発表しました。ここではその関連情報をまとめます。
(1) 被害状況
不正ログインの被害状況
| 不正ログイン被害件数 |
756件(アカウント) |
| ログイン試行回数 |
約296,000回 |
| ログイン試行日数 |
2014年8月15日1時29分〜5時35分(約4時間) |
| ログイン成功率 |
約0.3% |
| 会員数 |
約189万人*1 |
流出した可能性のある情報
- 不正ログインを受け、個人情報が閲覧された可能性がある。
- 当初個人情報の漏えいはないとされていたが、その後漏えいした可能性があると報じられている。*2
- 登録された情報の改ざんは2014年8月18日時点で確認されていない。
- ログインが出来ていないため以下全て閲覧可能かどうかは未確認。新規登録時に必要となる情報は以下の通り。
- SuicaID番号
- Suica種別
- 氏名(漢字)
- 氏名(カナ)
- 氏名(ローマ字)(任意)
- 性別
- 生年月日
- メールアドレス(PC)(PC/携帯どちらか必須)
- メールアドレス(携帯)(PC/携帯どちらか必須)
- 提携ポイントとの交換設定
- 住所
- 電話番号
金銭的被害
- JR東日本の調査によればなりすましによるポイントの不正利用は2014年8月18日発表時点で確認されていない。
(2) 発端
- 通常にはない大量のアクセスをJR東日本が確認したことによる。
(4) 対応・対策
- 不正ログイン被害について発表
- 不正ログインされたユーザーへ電子メールで連絡。(2014年8月15日)
- 不正ログインされたユーザーのパスワードをリセット。
- Suicaポイントクラブの7機能を機能の停止(2機能を除き8月18日12時まで)
- Suicaポイントクラブの5機能を18時〜翌6時まで停止する措置を当面実施。
(6) ログイン仕様
ログインID
- 任意の文字列を設定可能
- 半角英数字記号
- 6〜40桁
- 英大小文字は区別される
パスワード
- 半角英数字
- 6〜100文字
- 英大小文字は区別される
過去の同社サービスの不正ログイン被害
2013年3月31日「My JR-EAST」への不正ログイン
| 不正ログイン被害件数 |
97件(アカウント) |
| ログイン試行回数 |
約26000回 |
| ログイン試行日数 |
2013年3月31日12時26分〜13時52分(約1時間半) |
| ログイン成功率 |
約0.4% |
| 不正ログイン被害件数 |
約1万9000件(報道発表による) |
| ログイン試行回数 |
約94万回 |
| ログイン試行日数 |
2014年3月16日17時07分〜17日10時24分(約17時間半) |
| ログイン成功率 |
約2% |
更新履歴
- 2014/08/19 AM 新規作成
- 2014/08/19 PM ログインID、パスワードの仕様追加
