JR東日本は2020年3月3日、ネット予約サービス「えきねっと」が不正アクセスを受けたと発表した。不正にログインされた可能性がある3729人のアカウントについて同日夜にパスワードを強制リセットし、パスワードを変更しなければログインできないようにする措置を取った。

JR東日本の「えきねっとアプリ」のログイン画面
JR東日本の「えきねっとアプリ」のログイン画面
[画像のクリックで拡大表示]

 JR東日本の説明によれば、不正アクセスがあったのは3月2日午後5時30分から3日午後0時37分にかけて。この間に、えきねっとのサービスを利用できるスマホアプリ「えきねっとアプリ」を通じて、海外の特定IPアドレスから通常では考えられない多数のログイン試行があった。

 不正ログインされた3729人のアクセスログを調べたところ、大半はトップ画面でとどまっていたが、13人分については別画面に遷移して登録者の個人情報を閲覧した形跡があった。閲覧された可能性があるのは、氏名・住所・電話番号・生年月日・メールアドレス・クレジットカード情報の一部(カード番号の下4桁、有効期限、ブランド名)、連携している交通系ICカードの番号である。

 Webサイト版のえきねっとでは同様の事象はなかった。ただし、えきねっとではWebサイトとアプリでアカウントが共通なため、アプリを使ったことがない利用者も不正ログインの被害を受けた可能性がある。