東京ガス 「myTOKYOGAS」への不正アクセス による顧客情報漏洩

東京ガスによると同社が運営するにガス・電気料金情報WEB 照会サービス※1「myTOKYOGAS」において不正アクセスを受け、一部顧客情報が漏洩し、また顧客の保有していたポイントが不正に使われていたとして発表しました。同社は8月にも同様のサイバー攻撃を受け、2回目の被害。

※1:「myTOKYOGAS」・・・主に一般のご家庭を対象としたガス・電気料金情報WEB 照会サービス。東京ガスをご利用でインターネット上で登録することでサービスを受けることができ、お客さまの氏名、住所、お客さま番号、過去24か月のガス・電気使用量、ガス・電気料金のお支払い状況、保有ポイントなどが参照可能。

【経緯】

9月20日に、4件の顧客から勝手にパスワードが変更された旨の連絡があったため、ただちに調査したところ、9月11日以降、「リスト型攻撃」と見られる方法により、申し出のあった4件を含む合計106件の顧客のアカウントについて不正なアクセスの疑いが確認され、氏名、ガス・電気の請求予定金額、保有ポイント数の情報が閲覧された恐れのあることが判明。加えて、当該顧客のうち、24件については、保有していた合計38,000円相当のポイントが不正に使用され、他社のポイントに交換されている形跡があることが確認されました。
同社では、「全てのお客さまの他社のポイントへの交換を停止し、不正なログインが疑われる106件のお客さまのアカウントを一旦停止するとともに、すみやかに個別にこのたびの事情を説明してまいります。」としています。
同社では、本年8月に、国外のアドレスから同様の不正なアクセスを受けたため、9月1日に公表し、利用者に対し、ログインパスワードを変更していただくようお願いしておりましたとし、このたびの事象を受け、同ウェブサイトを利用の全ての利用者にメールを送付し、ログインパスワードを変更するように、再度、お願いしてまいりますとしています。また、「同ウェブサイトへのアクセスの監視等を強化してまいります。なお、今後、同様の事象が確認された場合には、対象のお客さまに対し、真摯に対応してまいります。」と説明し今後の対応方法について同サイト上で説明しています。

<「myTOKYOGAS」をご利用のお客さまへのお願い>
このたび「myTOKYOGAS」に不正なアクセスがあり、一部ではポイントが不正使用されました。「myTOKYOGAS」
をご利用のお客さまにおかれましては、ログインパスワードを必ず変更くださるようお願いいたします。
なお、変更方法は、以下アドレスをご参照ください。
http://support.tokyo-gas.co.jp/faq/show/2432?site_domain=open

これはサイバー攻撃の中でも基本的なものでリストアタックと呼ばれるものです。すべての組み合わせをとにかく順番に組み合わせ攻撃する「ブルートフォースアタック」というものもありますが、最近は他サービスのパスワードのリストが不正アクセスなどで外部に漏洩した場合、同じようにログインパスワードを必要とするサービスにこのリストを使ってログインを試みるサイバー攻撃が増えています。他サービスと認証情報を流用している人が多いことを攻撃者も知っているからです。インターネットバンキングの場合は、他サービスとパスワードを使いまわしていた場合は、最悪保証を受けられない可能性もあります。面倒でも大事なログインパスワード情報はサービスごとに設定するようにしましょう。

詳細;東京ガス

<