Gポイント“ID乗っ取り”、442件のIDで152万円相当の被害


 ジー・プラン株式会社が運営するポイント交換サイト「Gポイント」において、何者かが他人になりすましてログインし、合計152万円相当のポイントが不正に取得されていたたことがわかった。

 4月14日から16日までに5万9044件のIDで不正ログインが確認された。うち442件のIDで、合計152万1485ポイント(1ポイント=1円相当)が不正に取得され、Amazonギフト券と交換されていた。不正取得されたポイントは調査が完了し次第、被害前の状態に戻す。

 不正にログインされたIDを持つ会員に対しては、再度の不正ログインを防ぐためにジー・プランがログインを停止しており、該当する会員にはメールで連絡している。

 なお、ジー・プランがアクセスログを解析したところ、同社からログイン情報が流出した事実は確認されなかった。また、外部の第三者がデータベースに不正アクセスを行ったり、同社の関係者がログイン情報を抜き取った形跡も確認されていないといい、現在は警察に協力して原因を調査中としている。

【追記 18:52】
 その後の調査の結果、不正アクセスが行われた期間において、Gポイントの登録IDには存在しない文字列での大量のアクセスがあったことが判明した。ジー・プランでは、他社のサイトから流出したIDを用いてログインを試みたか、もしくは辞書にある単語を片端から試行する「辞書攻撃」が行われた可能性があるとして、さらに調査を進めている。

 不正アクセスの対応としては、不正と思われるアクセス監視を強化したり、不正と思われるIPアドレスを遮断したという。


関連情報

(増田 覚)

2012/4/18 13:44