2025年6月13日、日本私立学校振興・共済事業団は、サービス提供会社の株式会社JMDCからの報告を受け、学校教職員向け健康情報サイト「Pep Up(ペップアップ)」で外部からの不正アクセスが検知されたと発表しました。私学事業団によると、利用者3名のアカウントで不正ログインが成功した可能性があるものの、健診結果やポイント不正利用などの二次被害は確認されていないとのことです。
不正アクセスの検知状況
同サイトでは、短時間に大量のログイン試行を行う「パスワードリスト攻撃」とみられる不正リクエストを継続的に監視。
6月13日までに3名のアカウントで第三者によるログイン成功を確認し、同社はただちに該当アカウントの凍結とパスワードリセットを実施しました。
対応と再発防止策
JMDCが対象3名に連絡のうえ、強制的にパスワードをリセットし、アカウントを一時凍結 。不正リクエストの監視体制をさらに強化。
なおサービス基盤への直接的な侵入は一切確認されず安全性が担保されている事は確認済みとしています。
二段階認証の利用呼びかけ
Pep Upでは、ID(メールアドレス)とパスワードに加え、Google Authenticatorを用いたワンタイムパスワードによる二段階認証が設定可能です。不正アクセスが確認された事例はいずれも二段階認証未設定のアカウントで発生しており、私学事業団は早急に設定するよう強く呼びかけています。
関連記事
日本ゼオン グループ会社のトウペ、3月の不正アクセスで約2万件の個人情報流出の可能性
日揮ユニバーサル、2024年12月のランサムウェアによるサイバー攻撃で個人情報漏洩の可能性
東京海上グループ米国拠点で不正アクセス、PHLYなど4社がシステム遮断
近畿大学病院で患者情報が院内に誤配布、11名分の個人情報が流出
サイバー攻撃の事例 【2024年】
多要素認証(MFA)とは?メリットや必要性を解説
ビジネスメール詐欺の実態と対策-巧妙な手口で信頼関係を醸成
SonicWall SMAシリーズを狙うVPN認証情報窃取キャンペーンが進行中 CVE-2021-20035の悪用か
損保ジャパンに金融庁が報告徴求命令、不正アクセスによるサイバー攻撃で約1740万件の個人情報漏洩の疑いで
