平素より、健康保険組合の事業にご理解とご協力をいただき有難うございます。
健康ポータルサイトPep Upに関し、サービス提供会社である㈱JMDCから、不正アクセス防止に向けたセキュリティ強化のため、今後、以下の対策を講じていくとの連絡がありました。
Pep Upご利用の皆様におかれましては、二段階認証(*)の設定をお願いします。
(*)通常ログインは、ID(メールアドレス)とパスワードで行われていますが、Pep Upでは、スマートフォンのアプリを使った「認証システム」と言われる6桁の数字のワンタイムパスワードを使い、2段階で認証を行うことが設定できます。これによりメールアドレスやパスワード流出があっても、セキュリティの強化を図ることができます。有効化は1度していただければ、2回目以降は認証システムアプリから出たるコードを使用してログインとなります。(2段階認証解除、機種変更、認証システムアプリをアンインストールなどすると、再度有効化の作業が必要です)
■今後の対策について
- Google認証アプリ(Google Authenticator)の設定改善
- ポイント盗難防止
- メールによる二段階認証を追加して必須化
<Google認証アプリ(Google Authenticator)の設定改善>
現在、二段階認証としてGoogle認証アプリを設定いただく際に、PCなどでブラウザ版のPep Upの設定ページに表示された二次元コードを認証アプリで読み取っていただいていますが、セットアップキーも表示するように改善します。これにより、PCを使うことなくスマートフォンだけで設定ができるようになります。
<ポイント盗難防止>
攻撃者がAmazonギフトカードを交換する場合、Pep Up登録メールアドレスを変更したのちに交換を行うと想定しています。また、PayPayを交換する場合は、PayPayアカウント連携を変更して交換を行うと想定しています。この動きに鑑みて、上記の一連の流れを即時に行えないようにします。
具体的には、メールアドレス変更時とPayPayアカウント連携先の変更時、変更から一定期間、ポイント交換をできないようにします。(一定期間は数日程度を想定)
<メールによる二段階認証を追加して必須化>
なりすましに対応するためにはログイン認証の強度を高めることが必要であると考え、現在、設定を任意としている二段階認証を必須設定とします。
二段階認証を必須化するのにあたり、すべてのユーザー環境において二段階認証が設定できるよう、現在のGoogle認証アプリによる二段階認証のほか、メールによる二段階認証を機能としてご提供します。
二段階認証の手段を増やし、ユーザーに選択していただき、すべてのユーザーに二段階認証をご利用いただけるようにします。ただし、メールによる二段階認証は、認証キーが暗号化なしでインターネット上を流通するため、通信経路上で第三者により傍受されるリスクがあり、セキュリティ強度は下がるため、Google認証アプリの利用を強く推奨いたします。
二段階認証設定任意から必須の切り替えにあたっては、二段階認証が未設定のユーザーに対しログイン時に二段階認証設定を促す画面を提示します。
メールが不達のユーザーが一定数いることから、メールアドレスの最新化を促す移行期間を設けつつ、状況に鑑みながら必須化への移行を完了させていきます。
■ 対策の完了時期(目安)
<Google認証アプリ(Google Authenticator)の設定改善>
5月下旬~6月中旬
<ポイント盗難防止>
6月上旬~下旬
<メールによる二段階認証を追加して必須化>
・メールによる二段階認証を追加:6月下旬~7月上旬
・必須化:7月下旬~8月下旬