地方職員共済組合の組合員および被扶養者が利用可能な健康情報ポータルサイト「PepUp(ペップアップ)」において、第三者による不正アクセスが確認されました。
この件について、サービス提供会社である株式会社 JMDC (下「「JMDC」)から報告を受けましたので、お知らせいたします。
〇概要
- 令和7年10月24日に、当組合の Pep Up 利用者1名が身に覚えのないポイント交換記録を認識し、JMDC に問い合わせを行いました。
- JMDC による調査の結果、当該利用者のメールアカウントの ID・パスワード及び生年月日の悪用を起因とした不正アクセスがあった可能性が高いことが確認されました。
- メールアカウントの ID・パスワードは、他社が提供するサービスから漏洩し、この情報を用いて当該利用者のメールアカウントが乗っ取られたと考えられます。
- また、メールアドレスに生年月日が含まれていたことから、生年月日の漏洩も確認されました。
- 当該利用者は、「メール」による2段階認証の設定をしていたものの、メールアカウントの ID・パスワード及び生年月日が漏洩したことで、第三者に不正に Pep Up にアクセスされてしまったものと考えられます。
- メールによる2段階認証の場合、2段階認証を行うための「認証キー」が暗号化されない状態でインターネット上 (メール上)に流通するため、通信経路上で第三者から傍受されるリスクがあります。このため、当組合は「Google 認証アプリ」による2段階認証の設定を強く推奨します。
- また、不正アクセスの結果、保有するポイントが不正に交換されていたことが確認されました。
- なお、不正アクセスは、Pep Up の提供基盤(アプリケーション、サーバー、インフラ等を含みます。)および健診結果等の要配慮個人情報のページへの痕跡は確認されておりません。
〇当該利用者への対応
当該利用者に対しては、JMDC が強制的にパスワードをリセット(アカウント凍結)するとともに、JMDC からアカウントを凍結した旨をご本人に連絡しています。
不正アクセスを防止するためには、次の2つの対応が有効です。
1. パスワード管理の徹底
2. 「Google 認証アプリ」を利用した2段階認証機能の活用
ご対応がお済みでない方は、ご自身の大切な情報を守るために、ご協力をお願いします。
1. パスワード管理の徹底
- 複数のサービスで同一のパスワードを利用することはせず、それぞれ異なるパスワードを設定してください。
- 定期的にパスワードを変更してださい。
- 生年月日や連続した数字など、単純なパスワードを利用している場合には、より強固なものに変更してください。
2. 2 段階認証機能の活用
初期設定では、Pep Up へのログインは、ID (メールアドスス)とパスワードの入力により行われますが、セキュリティ強化のために2段階認証機能の活用をお願いします。
2段階認証機能には、次の 2 つの方法があります。
(1)「Google 認証アプリ」を使用する方法
(2) メールを使用する方法
ただし、(2)メールを使用する方法の場合、2段階認証を行うための「認証キー」が暗号化されない状態でインターネット上 (メール上)に流通するため、通信経路上で第三者から傍受されるリスクがあります。このため、当組合は(1) 「Google 認証アプリ」を使用する方法を強く推奨します。
3. 不正アクセスの確認方法
- パソコンから Pep Up にログインした場合、「Pep Up にログインが行なわれました」という件名のメールが登録メールアドススに送信されます。
- パソコンから Pep Up にログイン後、「設定」画面のログイン履歴からご確認できます。
- メールやログイン履歴から、身に覚えのない時間帯や端末からのアクセスが見つかった場合は、速やかにパスワードの再設定を行ない、Pep Up カスタマーサポートへ連絡してください。