このたび、当社WEBサイトのお客さま向け「マイページ」におきまして、「リスト型攻撃※」による不正ログインが発生し、その結果として、一部のお客さまの情報が閲覧された可能性があり、また一部のお客さまのポイントが不正利用される被害が発生いたしました。お客さまには、多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
不正ログインの対象となった可能性のあるお客さまのパスワードは、当社にてリセットしております。パスワードをリセットしたお客さまには、個別にご案内いたしますので、従来とは異なるパスワードを再設定いただくとともに、他のサービスにおける不正ログインを未然に防ぐ観点から、他のサービスにおけるパスワードについても速やかに変更していただきますようお願い申し上げます。なお、ポイントを不正利用されたお客さまには、当社より個別にご連絡のうえポイントを補填させていただきます。
当社としては、被害を受けられたお客さまに対して丁寧な対応を実施するとともに、セキュリティ強化等の再発防止策に努めてまいります。
※リスト型攻撃とは、第三者が他のサービス等から不正に入手したID・パスワード情報をリストのように用い、様々なサイトでログインを試行するサイバー攻撃です。
1.経緯
2025年8月14日(木)から16日(土)にかけて、当社お客さま向け「マイページ」に対し、複数のIPアドレスから通常のアクセスを大幅に上回るログイン試行が断続的に発生していることを確認し、「リスト型攻撃」による不正ログインを検知しました。今回検知した不正ログインの情報から、過去に遡って調査した結果、2025年4月1日から8月16日の期間にて不正ログインを確認しました。
なお、8月16日(土)に攻撃元のIPアドレスからの通信を遮断し、現在は沈静化しております。
2.被害の状況
(1)不正ログインされたアカウント数
713件
(2)個人情報を閲覧された可能性
不正ログインにより、第三者にお客さま情報が閲覧された可能性がございます。
・閲覧された可能性のあるお客さま情報
氏名、住所、生年月日、電話番号、メールアドレス、サービス料金明細、電気・ガス使用量、その他アカウント登録情報
※銀行口座・クレジットカードの情報につきましては、口座名義・口座番号全桁、カード番号全桁、セキュリティコードは閲覧されておりませんが、口座番号下3桁・カード番号下3桁・有効期限は閲覧された可能性がございます
(3)不正利用されたポイント
444件(3,061,864ポイント)
3.これまでの当社の対応
・攻撃元のIPアドレスからのアクセスの遮断
・不正ログインされた可能性のあるお客さまのパスワードのリセット
・不正にポイント交換されたお客さまへの個別連絡とポイントの補填
・警視庁サイバー犯罪相談窓口および管轄の警察署へ相談
・個人情報保護委員会へ報告
・外部専門機関と連携し、監視体制と再発防止策を検討中
4.再発防止策
今後は、再発防止対策として以下のセキュリティ強化を順次実施してまいります。
・二要素認証(多要素認証)機能等の導入
・ログイン監視体制および不正アクセスの検知精度の向上
5.お客さまへのお願い
不正ログインの対象となった可能性のあるお客さまのパスワードは、当社にてリセットしております。パスワードをリセットしたお客さまには、個別にご案内いたしますので、従来とは異なるパスワードを再設定いただくとともに、他のサービスにおける不正ログインを未然に防ぐ観点から、他のサービスにおけるパスワードを速やかに変更していただきますようお願い申し上げます。