東日本旅客鉄道(JR東日本)は2014年3月18日、同社が運営するポイントサービス「Suicaポイントクラブ」のWebサイト(画面)に対して大量の不正ログイン攻撃があったと発表した。3月17日9時30分に大量アクセスの事実を把握し、10時24分にサービスを停止して調査。その結果、16日17時7分以降に通常にはない約92万件のログイン失敗があったことが判明した。
現時点では、利用者自身の操作によらない取引があったことは確認できていない。停止していたサービスのうち、18日17時から「SuicaポイントからTポイント・WAONポイントへの交換」「Suicaポイントクラブ会員情報の閲覧および諸変更登録」を除くサービスを再開した。19日夕方の時点では、「大量アクセスは収まっているが、全サービス再開のめどはたっていない」(広報部)という。
当該時間帯に利用した顧客に対しては、個別に連絡してパスワード変更を依頼する予定である。それ以外の顧客に対しても、「パスワードの使い回しをしない」「定期的にパスワードを変更する」「第三者が容易に推測できるパスワードを使用しない」ことを呼びかけている。
公共交通機関のWebサイトを巡っては、日本航空(JAL、関連記事)、全日本空輸(ANA、関連記事)のマイレージサービスでも相次いで不正ログイン事件が起きている。JALのパスワードは数字6ケタ、ANAのパスワードは数字4ケタという制限があるため、“総当たり”方式でログインを試行された恐れがある。
JR東日本のSuicaポイントクラブのパスワードは「6~8文字の英数字」で設定できるため、“総当たり”方式での不正ログインは比較的困難である。攻撃者は、他サービスから流出したIDとパスワードのリストを使って不正ログインを試みた可能性がある。
関連記事:Yahoo!に続き三越も攻撃、不正ログインにサイト運営者はどう対抗する
