日本私立学校振興・共済事業団、健康情報サイト「Pep Up」で不正ログイン発生、利用者3名が被害

日本私立学校振興・共済事業団は6月20日、健康情報ポータルサイト「Pep Up」で第三者による不正ログインがあったと発表しました。

この不正アクセスは、他のサービスなどから流出したIDとパスワードのリストを使ってログインを試みる「パスワードリスト攻撃」と呼ばれる手口で行われたとみられています。サービス提供会社のJMDCは、不審なログインを監視しており、6月13日までに3名の利用者アカウントで第三者によるログインが成功したことを確認しました。

被害を受けた3名のアカウントは、すぐにパスワードがリセットされ、アカウントも一時的に凍結されました。また、本人にも連絡が行われています。現時点で健康診断結果やポイントの不正利用などの二次被害は確認されていません。

今回の不正アクセスは、推測しやすいパスワードや、複数のサービスで同じパスワードを使い回していたアカウントが狙われた可能性が高いとされています。Pep Upでは、IDとパスワードに加えてワンタイムパスワードを使う「二段階認証」を設定することができます。不正ログインがあったアカウントはいずれも二段階認証を設定していませんでした。

団体とJMDCは、利用者に対し二段階認証の設定やパスワードの見直しを強く呼びかけています。また、不正アクセスが心配な場合は、案内に従って確認するよう注意を促しています。