一般社団法人 日本リウマチ学会は2025年11月13日、同学会が運営する J-STARサイト(https://j-star.ryumachi-jp.com/br/ において不正アクセスが確認されたとして、会員にログインパスワードの変更を強く呼びかけました。
目次
発生の経緯
2025年10月22日、J-STARサイトの会員ログイン機能で使用していたテスト用アカウントが不正に利用され、非公開ページへの不正な書き込みが確認されました。公開ページへの影響はなく、学会は当該アカウントを特定のうえ対応を実施しています。
影響範囲と現時点の確認状況
現時点で、
-
会員情報の流出は確認されていません。
-
他の会員アカウントやシステム全体への影響も確認されていません。
また、J-STARサイトはJCR公式サイトと構造上分離されており、公式サイト側への影響もないとしています。
学会の対応
学会は、不正アクセス防止のためのセキュリティ対策の強化を継続して進める方針です。昨今、どのウェブサイトも標的となり得る状況が続くことを踏まえ、監視体制と運用の見直しを行うとしています。
会員へのお願い
会員に対しては、現在ご利用中の各種ログインパスワードを、推測されにくい強固なものへ速やかに変更するよう求めています。併せて、以下の実践も推奨されます。
-
使い回しを避け、サービスごとに異なるパスワードを設定する
-
英大文字・小文字・数字・記号を組み合わせ、十分な長さ(目安12文字以上)にする
-
可能であれば多要素認証(MFA)を有効化する
-
不審なログイン通知や挙動に気づいた場合は、直ちに学会事務局へ連絡する
なぜパスワード変更が重要か
リスト型攻撃は「他所からの連鎖被害」として突然顕在化します。J-STARでの不正アクセスと直接の因果がなくとも、同一または類似のパスワードを使っていれば、別経路での侵入を許す可能性があります。
今回の学会からのお願い(パスワード変更・強化)は、こうした横断的リスクの断ち切り策として極めて有効です。
リスト型アカウントハッキングの解説(Credential Stuffing)
本件はテスト用アカウントの悪用が端緒ですが、一般的な二次被害の予防という観点から、近年多発する「リスト型アカウントハッキング」についてもご説明します。パスワード変更の重要性を理解いただく助けになれば幸いです。
リスト型とは何か
リスト型アカウントハッキング(Credential Stuffing)は、他社サービス等から流出したID(メールアドレス等)とパスワードの組み合わせリストを流用し、別サービスで一斉に自動ログインを試みる攻撃手法です。
-
攻撃者は過去の漏えいデータや闇市場で入手した「認証情報リスト」を用いて、ボットやスクリプトで大量試行します。
-
パスワードの使い回しがあると、本人が意図せず別サービスにも侵入されるリスクが跳ね上がります。
ユーザーができる対策
-
使い回しをしない:J-STARと他サービスで同じパスワードを使わない(同じルール・派生も避ける)
-
パスワードマネージャーの活用:長く複雑・一意なパスワード管理を容易にします。
-
MFA有効化:パスワードが知られても、ワンタイムコード等で不正ログインを阻止します。
-
不審通知への即応:身に覚えのないログイン通知、パスワード再設定メール等に注意し、公式サイトから確認・変更を行う。
-
過去漏えいの自己点検:同一メールアドレスの過去漏えい有無を確認し、心当たりがあれば関連サービスも含め総入れ替えを行います。
組織(サービス提供者)側の代表的対策
-
MFAの標準化/必須化、ログイン試行のレート制限、IP/デバイス指紋のリスク評価、ボット対策
-
「漏えい済みパスワード」使用禁止(既知漏えいハッシュとの照合)
-
アラートと可視化:地域・ASN・ユーザーエージェントの異常や低成功率の大量試行を検知
-
休眠・テスト用アカウントの棚卸しと最小権限の徹底、監査ログの長期保全








