2025年8月29日、エネルギー小売の株式会社PinTは、会員向け「マイページ」でリスト型サイバー攻撃による不正ログインが発生し、一部アカウントで閲覧被害とポイント不正利用が確認されたと公表しました。
影響が疑われるお客さまのパスワードは同社側でリセット済みで、個別案内のうえ再設定と他サービスのパスワード変更を求めています。
ポイント被害については、該当者に個別連絡のうえ全額補填する方針です。
サイバー攻撃の概要
8月14日(木)から16日(土)にかけて、通常を大きく上回るログイン試行が複数のIPアドレスから断続的に続き、同社は「マイページ」への不正アクセスを検知しました。攻撃の性質から、他社で流出したID・パスワードの組み合わせを持ち回って機械的に試すリスト型攻撃と同社は判断しています。
検知を受けて過去にさかのぼって調べたところ、4月1日から8月16日までの期間に不正ログインが発生していたことがわかりました。8月16日には攻撃元と見られるIP帯の通信を遮断し、現時点では事態は沈静化しています。
約300万ポイントが不正利用
不正にログインされたアカウントは713件でした。
閲覧された可能性がある個人情報には、氏名、住所、生年月日、電話番号、メールアドレスに加え、料金明細や電気・ガスの使用量など、エネルギー事業者ならではの項目が含まれます。
金融情報については、口座名義・口座番号全桁やカード番号全桁、セキュリティコードは閲覧されていません。
一方で、口座番号の下3桁、カード番号の下3桁、有効期限は画面上で確認できた可能性があります。
ポイントの不正利用は444件/3,061,864ポイントに達しており、同社は該当者へ順次連絡し補填対応を進めています。
これまでの対応
攻撃元のIPアドレスは遮断済みで、影響の疑いがあるアカウントのパスワードは一括リセットされています。ポイントを不正に交換されたお客さまには個別連絡のうえ補填し、再発防止策の検討・実装を外部の専門機関と進めています。あわせて、警視庁サイバー犯罪相談窓口および所轄警察への相談、個人情報保護委員会への報告も完了しています。
再発防止策
同社は、ログイン時の安全性を高めるために二要素認証(多要素認証)の導入を順次進めます。加えて、ログイン監視の体制を強化し、異常な試行や短時間の集中アクセスをより早く正確に弾けるよう、検知の精度を引き上げる方針です。これにより、他社流出由来のパスワードを使った攻撃に対しても、パスワードだけでは突破できない状態をつくります。
漏洩した場合の対策
同社からパスワードリセットの案内が届いた場合は、これまでと異なる強固なパスワードを設定してください。今回の攻撃は他社で流出した組み合わせの使い回しを突く手口ですので、「マイページ」と同じ、あるいは似通ったパスワードを使っている他サービスもまとめて変更することが大切です。可能なサービスでは多要素認証(認証アプリや生体認証、セキュリティキー)を必ず有効化してください。ポイントの残高や交換履歴、料金明細に身に覚えのない動きがないかも確認し、疑わしい点はすぐにサポートへ連絡しましょう。
関連記事
株式会社富士山マガジンサービス、サイト「Fujisan.co.jp」で不正アクセス、最大250万人超の住所録閲覧の可能性
電通の海外子会社 Merkle(マークル)で不正アクセスなどのインシデント発生-クライアント・取引先・従業員関連ファイルの持ち出しを確認、通知を開始
ヤマト運輸、元従業員による情報不正持ち出しの調査結果を更新
佐川急便「スマートクラブ」で不正ログインを検知 マイページを一時制限、該当ユーザーに個別連絡へ
不動産投資の楽待に不正アクセス-会員の個人情報や加盟店情報が漏洩した可能性
ファッション 通販サイトのパルクローゼット、約19万件の不正アクセスの可能性
ポケモンセンターオンラインへパスワードリスト攻撃による不正ログイン
のメールアカウントが不正利用され迷惑メールの踏み台に-200x200.png)
マリンオープンイノベーション機構(MaOI機構)のメールアカウントが不正利用され迷惑メールの踏み台に
サカタのタネ、社内サーバーへの不正アクセスを公表データの一部にアクセス痕跡、業務への大きな影響は確認されず
