地方職員共済組合は11月28日、地方職員共済組合の組合員および被扶養者が利用可能な健康情報ポータルサイト「Pep Up」への不正アクセスについて発表した。
これは10月24日に、同組合のPep Up利用者1名が身に覚えのないポイント交換記録を認識したため、サービス提供会社である株式会社JMDCに連絡し、JMDCによる調査を行った結果、当該利用者のメールアカウントのID・パスワード及び生年月日を悪用した不正アクセスの可能性が高いことが判明したというもの。
同組合によると、メールアカウントのID・パスワードは、他社が提供するサービスから漏えいし、同情報を用いて当該利用者のメールアカウントが乗っ取られたと推測しており、メールアドレスに生年月日が含まれていたことから、生年月日の漏えいも確認されたとのこと。なお、当該利用者はメールによる2段階認証の設定をしていたが、メールアカウントの ID・パスワード及び生年月日が漏えいしたことで、第三者にPep Upに不正アクセスされたと推測している。
同組合では、メールによる2段階認証の場合は「認証キー」が暗号化されない状態でメールに流通するため、通信経路上で第三者から傍受されるリスクがあり、「Google 認証アプリ」による2段階認証の設定を強く推奨している。
不正アクセスの結果、同組合では当該利用者が保有するポイントが不正に交換されていたことを確認している。なお、Pep Upの提供基盤(アプリケーション、サーバ、インフラ等を含む)および健診結果等の要配慮個人情報のページへの不正アクセスの痕跡は確認されていない。
