セキュリティを専門とする第三者機関による調査結果のご報告

平素はふるさとプレミアムサイトをご利用いただきまして誠に有難うございます。
ふるさとプレミアム運営事務局でございます。
掲題につきましてご利用者のみなさまに謹んでご報告申し上げます。

2022年2月17日に発覚した「ふるさとプレミアム」に対するサイバー攻撃について、
セキュリティを専門とする第三者機関による調査報告を受けましたので、
その内容をご利用者のみなさまに以下に抜粋して開示致します。

＜調査結果＞

■攻撃形態
ブルートフォースアタック（総当たり攻撃）の一種、パスワードリストアタック
■攻撃期間
2022年2月12日～2022年2月17日
■攻撃実態
・28,445のIPアドレス（初動報告；2,000以上）から総数約600万回のアクセストライ
・不正アクセス/ログイン成功アカウント数：1,699（同初動報告；2,099）
・マイページアクセス数：827（同初動報告；最大2,099）※１
・ギフトコードアクセス数：32（同初動報告；最大97）※２
・なりすましによる退会処理：最大34
■攻撃者
全てプログラム（bot）か途中からヒトが引き継いだかは確定できず
■不正ログイン後のなりすましの行動
・ご利用者が登録した個人情報を閲覧※１
・ご利用者に付与されたAmazonギフトの番号を閲覧※２

＜運営事務局からお知らせ＞

2022年3月28日現在、個人情報流出の事実は確認されておらず、
また個人情報を悪用されたことによる被害を受けたという報告はありません。
Amazonギフトコードを不正ログイン者（なりすまし）が閲覧し
ご本人より先にAmazonで不正利用した事例は17件確認されております。
被害に遭われたご利用者には運営事務局にてAmazonギフトコードの再発行を致します。
2022年2月12日以前に付与されたAmazonギフトコードが、使用した記憶がないのに使用済と表示される、
などの事象がありましたら事務局までご相談ください。

【お客様相談窓口】

専用お問合せフォーム：https://26p.jp/pages/contact20220302

＜ご利用者様への重ねてのお願い＞

暫定的なセキュリティ対策として2022年2月27日午前1時に全利用者様のパスワードを強制リセットしています。
不正ログイン防止の観点から、この機会に、より堅牢なパスワードの設定を強くお願いするものです。
1）他のサービスで使用しているパスワードの「使いまわし」は危険です。
2）過去に使っているパスワードを使うことは危険です。
3）第三者が容易に推測できるパスワード（誕生日、電話番号など）は危険です。
運営事務局ではこの機会にご利用者様にパスワードの再設定をお願いしております。

＜恒久的セキュリティ対策について＞

■施策済み
1. reCAPTCHA機能の導入（プログラムされたアクセスを検知して自動遮断）
2. 海外サーバーからの連続的なアクセスを自動的に遮断する
3. Amazonギフトコードは予め登録されたご利用者様のメールアドレスに送信（「盗み見」防止）

■5月末迄に導入予定の恒久対策
1. 攻撃を検知した際の会員様パスワードの強制リセット
2. 国内サーバーからの連続的なアクセスを自動的に遮断
3. 会員様情報を更新する際の2段階認証（ワンタイムパスワードをSMSで送信、など）

以 上

ふるさとプレミアム運営事務局

＜運営会社＞
株式会社ユニメディア
千代田区内幸町2-2-3日比谷国際ビル6F