私立学校振興・共済事業団の健康サイト「Pep Up」でパスワードリスト攻撃被害｜個人情報漏洩の実態と対策

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

2025年6月、私たちの日常に欠かせない健康管理サービスで、また新たなサイバー攻撃が発生しました。日本私立学校振興・共済事業団が運営する健康情報ポータルサイト「Pep Up」で、パスワードリスト攻撃による不正アクセスが確認されたのです。

事件の概要：巧妙なパスワードリスト攻撃の実態
フォレンジック調査で見えてきた攻撃の手口
個人・中小企業が直面するリアルな脅威
1. 個人レベルの被害例
2. 中小企業での実際の被害
今すぐ実践すべき防御策
デジタル資産を守るための包括的セキュリティ
中小企業経営者が知っておくべきこと
サイバーセキュリティは「保険」である
まとめ：今日から始められる対策
一次情報または関連リンク

事件の概要：巧妙なパスワードリスト攻撃の実態

今回の攻撃は、サイバー犯罪者がよく使う「パスワードリスト攻撃」という手法でした。これは、他のサービスから流出したIDとパスワードの組み合わせを使って、複数のサイトに自動的にログインを試行する攻撃です。

サービス提供元の株式会社JMDCは、不正なリクエストを監視・ブロックしていましたが、残念ながら3名のユーザーアカウントへの不正侵入を許してしまいました。攻撃者の目的は「ポイントの不正取得」と推測されています。

フォレンジック調査で見えてきた攻撃の手口

現役CSIRTメンバーとして数多くのインシデント対応を経験してきましたが、このような健康管理サービスを狙った攻撃は近年急増しています。特に注目すべきは以下の点です：

継続的な攻撃：断続的に不正リクエストが発生していた
標的型アプローチ：推測しやすいパスワードや使い回しアカウントを狙い撃ち
経済的動機：ポイントという換金可能な資産を狙った

bgt?aid=250609106868&wid=001&eno=01&mid=s00000012042012010000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

個人・中小企業が直面するリアルな脅威

実際に私が対応した類似事例では、以下のような被害が発生しています：

個人レベルの被害例

健康データの不正閲覧・悪用
ポイントや電子決済残高の不正使用
個人情報を使った二次犯罪（なりすまし等）

中小企業での実際の被害

従業員の健康管理システムへの不正アクセス
機密性の高い健康診断データの流出
企業の信用失墜と損害賠償リスク

今すぐ実践すべき防御策

フォレンジック調査を通じて見えてきた効果的な対策をご紹介します：

1. パスワード管理の徹底

同じパスワードの使い回しは絶対に避けましょう。特に健康情報や金融サービスなど、機密性の高いサービスでは独自の強力なパスワードを設定することが重要です。

2. 2段階認証の活用

今回の事件でも言及されていますが、2段階認証は不正アクセスを防ぐ最も効果的な手段の一つです。面倒に感じるかもしれませんが、セキュリティ効果は絶大です。

3. 定期的なログイン履歴の確認

不審なアクセスがないか、定期的にログイン履歴をチェックする習慣をつけましょう。早期発見が被害を最小限に抑える鍵となります。

デジタル資産を守るための包括的セキュリティ

パスワード管理だけでは不十分です。現代のサイバー脅威に対抗するには、複数層での防御が必要です。

まず、端末自体のセキュリティを強化することが基本中の基本です。アンチウイルスソフトを導入することで、マルウェアやフィッシング攻撃から身を守ることができます。特に最新のアンチウイルスソフトは、従来のウイルス検知に加えて、行動分析による未知の脅威検出機能も備えています。

さらに、公共Wi-Fiを利用する機会が多い方は、通信内容の暗号化が不可欠です。VPN を使用することで、たとえ通信が傍受されても、データの内容を読み取られるリスクを大幅に減らすことができます。

中小企業経営者が知っておくべきこと

従業員の健康管理システムを導入している中小企業も多いでしょう。今回のような事件は他人事ではありません。実際に私が対応した事例では、従業員50名程度の製造会社で、健康管理アプリ経由で社内ネットワークへの侵入を許してしまったケースもありました。

企業としては以下の対策が急務です：

従業員への定期的なセキュリティ教育
業務で使用するシステムのアクセス権限管理
インシデント発生時の対応手順の整備

サイバーセキュリティは「保険」である

多くの方が誤解しているのは、「自分は狙われない」という思い込みです。しかし現実には、攻撃者は無差別に多数のターゲットを狙っています。今回の事件も、特定の個人を狙ったものではなく、脆弱なアカウントを探し回った結果です。

セキュリティ対策は火災保険や自動車保険と同じです。何も起こらなければそれに越したことはありませんが、万が一の時に大きな損失を防いでくれる重要な投資なのです。

まとめ：今日から始められる対策

今回の「Pep Up」の事件は、私たちの身近なサービスがいかに狙われやすいかを示す典型例です。しかし、適切な対策を取ることで、被害を防ぐことは十分可能です。

まずは以下の3つから始めてみてください：

重要なサービスのパスワードを変更し、2段階認証を有効にする
端末に信頼できるアンチウイルスソフトをインストールする
外出先でのインターネット利用時はVPN を使用する

デジタル時代を安全に生きるために、今日から行動を起こしましょう。