2024年11月23日

パスワード

(エイチ・ツー・オーリテイリング)Sポイントメンバーサイトにおける不正アクセスと被害について

阪急阪神ホールディングスグループとエイチ・ツー・オー リテイリンググループでサービスを行っているSポイントのメンバーサイトが、8月6日、ブルートフォースアタック型(総当たり攻撃型)のアカウントハッキングを受けていたことが判明しました。それにより、IDとパスワードが一致した件数が1094件(以下、ID等一致会員)あり、その一部のポイントが他社のポイントに不正に交換されていました。会員の皆様にはご迷惑とご心配をおかけいたしますこと、心よりお詫び申しあげます。この事態を厳粛に受け止め、再発防止に努めてまいります。

詳細は、以下のとおりです。

【アカウントハッキングの内容】

サイト名:Sポイントメンバーサイト
期 間:7月24日~8月2日

【閲覧された可能性がある会員情報】

ID等一致会員(1094件)のうち一部の会員の氏名と保有ポイント数(44名)なお、その他個人情報が閲覧された可能性については、今のところ確認されておりません。

【不正に交換されたポイントの状況】

Sポイントから他社ポイントへの交換:1件、1000ポイント(1名)※ID等一致会員のうち、他社へのポイント交換をされた会員は44名でありましたが、43名は交換完了前に処理を停止しました。

【対応と再発防止策】(可能な限り並行して進めております。)

  1. 不正ログインのアクセス元IPアドレスを遮断(実施済み)
  2. ポイント交換をされた44名の会員に電話で連絡し、ID、パスワードの変更を依頼
  3. 8月10日、ID等一致会員のIDのアカウントロックを実施、8月11日にアカウントロックの対象者にメールにてご連絡
  4. Sポイントメンバーサイトを一時休止し、セキュリティーを強化
  5. 被害に関して警察への報告、第三者機関による検証

詳細PDFはこちら