【重要】Easiit Mile不正交換事象について調査結果のお知らせ
いつも「Easiit」をご利用いただきありがとうございます。
Easiit Mileが知らない間に他社ポイント等に交換されている事象について、調査結果をお知らせいたします。本事象は、攻撃者がなんらかの方法でアカウント情報(メールアドレスとパスワードの組み合わせ)を入手し、それを用いてEasiitアカウントへのログインを試みた「パスワードリスト攻撃」と推定されました。
現時点で、当社サーバーからのアカウント情報の流出や会員情報へのアクセスは確認されませんでした。本サービスと同様のメールアドレスとパスワードをご利用のサービスが他にございましたら、そのサービスについてもパスワードの変更をお勧めいたします。
調査結果の詳細は以下の通りです。
1. Easiit Mile不正交換事象の概要
2月24日頃から、Easiitに「マイル交換してないが交換完了のメールが届いた」との問い合わせが発生しました。弊社にて調査を行ったところ、23日深夜から24日に掛けてログインの試行回数及び、Easiit Mile交換のペースが急増していました。アクセスログの調査により、不正ログインの成功率は著しく低い数値であることが確認されたため、他社サービスで漏洩したID・パスワードを用いた攻撃であり、Easiitの情報漏洩ではないと判断しております。
2. Easiit Mile不正交換に関する調査について
(1)調査内容・目的
不正アクセスの影響範囲の特定
(2)調査手法
・サーバログの分析を実施し、疑わしきアクセスについての調査
・会員情報へのアクセス、改ざんがないことの確認
・アプリケーション、ソースコードの改ざんがないことの確認
(3)調査結果と原因
本事象は、攻撃者がなんらかの方法でアカウント情報(メールアドレスとパスワードの組み合わせ)を入手し、それを用いてEasiitアカウントへのログインを試みた「パスワードリスト攻撃」と推定されました。
なお、現時点で、当社サーバーからのアカウント情報の流出や会員顧客情報へのアクセスは確認されませんでした。
3. 対応
(1)これまでに実施した対応
今回の攻撃手法や範囲を踏まえて、以下の必要な対処を完了しました。
・すべてのEasiit会員へ本事象についての注意喚起とパスワード変更・多要素認証設定の依頼をメールにて実施
・本事象についての注意喚起と簡易調査結果をWeb上に公開
・Easiit Mile交換機能の一時停止並びに影響を受けたEasiit Mileの補填
・Easiit Mile交換用サイト画面の改修(Giftee、Gポイント)
(2)今後の対策及び再発防止策
継続的な注意喚起とパスワード変更・多要素認証設定の依頼をWeb上で実施
4. その他
この件に関するお問い合わせは、お電話またはチャットにてお願いいたします。
お電話でのお問い合わせ
Easiit総合窓口
0120-165-831
受付時間/平日9:00~17:00 (土日、祝日、エーザイ休業日、年末年始を除く)
チャットでのお問い合わせ
https://my.easiit.com/use/
対応時間/平日9:00~17:00(土日、祝日、エーザイ休業日、年末年始を除く)