東日本旅客鉄道(JR東日本)は2014年8月18日、同社が運営する会員サイト「Suicaポイントクラブ」(画面)に不正なアクセスがあったことを発表した。8月15日に大量のアクセスがあり、一部のアカウントが不正にログインされた可能性があるという。15日にWebサイト上の主要なサービスを停止し、18日正午に時間帯を限定して再開した。不正ログインが疑われるアカウントは利用を停止し、利用者に個別に連絡するという。
JR東日本によると大量のアクセスがあったのは8月15日の午前1時29分から。SuicaポイントクラブのWebサイトに対して、通常にはない約29万6000件のアクセスがあった。このため午前5時35分に「Suica利用でのポイント付与」「外部の提携ポイントからSuicaポイントへのポイント交換」を除く主要なサービスを停止した。このアクセスで、756アカウントが不正にログインされ会員情報を閲覧された可能性があるという。
18日正午に新規入会やパスワード変更、残高/履歴の照会、「SuicaポイントからSuicaチャージへの交換申請」「ポイントをためるSuicaの追加登録・削除登録」といったサービスを再開した。ただし、当面は平日の午前10時から午後6時までの提供とする。会員情報の閲覧/変更と「SuicaポイントからTポイントやWAONポイントへの交換」は時間帯にかかわらず利用できない。サービスを完全に再開する時期は「別途ホームページでご案内する」として明らかにしていない。
今回の不正アクセスではシステムは正常に機能していた。上記の不正ログインによる会員情報の閲覧以外に、脆弱性を突かれるなどによる情報漏洩はないという。攻撃者は別のルートで入手したパスワードなどのアカウント情報を利用して不正ログインを試行した可能性がある。
Suicaポイントクラブは、3月にも不正アクセスの攻撃を受けた(関連記事:「Suicaポイントクラブ」に不正アクセス、約92万件のログイン失敗)。その後、JR東日本では大量アクセスのチェック体制の強化や、攻撃発覚からサービス停止までの時間の短縮などの改善をしてきたという。前回は3月17日に大量アクセスを把握してサービスを停止、18日午後5時に一部のサービスを再開した。完全にサービスを再開したのは3月26日午前10時だった。
