メインコンテンツへ移動 メインナビゲーションへ移動 フッターへ移動

Pep Upの不正アクセス防止のための注意とお願い

更新:令和 7年06月20日

  • 加入者
  • 事務担当者

不正ログインの疑いに関する報告

健康情報ポータルサイト「Pep Up(ペップアップ)」(注釈1)において、第三者による不正アクセスが検知されました。また、私学事業団のPep Upの利用者のうち、3名が不正アクセスの影響を受けた可能性があります。
令和7年6月13日にサービス提供会社の株式会社JMDCより報告を受けたためお知らせします。

不正アクセスの内容と対応

本件は、不正なリクエスト(注釈2)をブロックしながら監視を続けている中で、パスワードリスト攻撃(注釈3)と思われる不正なリクエストを断続的に検出し、第三者からの不正が疑われるログインが成功したことを確認したものです。
該当する3名への対応は、株式会社JMDCが強制的にパスワードをリセット(アカウント凍結)するとともに、その旨を本人に連絡しています。また、健診結果等の要配慮個人情報のページへのアクセスやポイントの不正利用は確認されていません。
なお、Pep Upの提供基盤(アプリケーション・サーバー・インフラ等を含みます)への不正アクセスの痕跡は確認されていません。推測しやすいパスワードを設定したアカウントや複数のサービスで同一のパスワードを利用しているアカウントが狙われた可能性があり、ポイントの不正取得を目的としたものであると推測されています。

(注釈1)
30歳以上の加入者(任意継続加入者を含みます)及び被扶養者が利用できるサービスです。
(注釈2)
同一のIPアドレスから短時間に大量のログインを試みることをいいます。
(注釈3)
他社サービスから流出した可能性のあるIDとパスワードの組み合わせリストを用いてログインを試みる攻撃をいいます。

2段階認証機能の活用のお願い

通常Pep Upへのログインは、ID(メールアドレス)とパスワードで行なわれていますが、スマートフォンのGoogle認証システムアプリ(Google Authenticator)を使って、6桁の数字のワンタイムパスワードを使い、2段階で認証を行なう設定ができます。これによりメールアドレスやパスワード流出があっても、セキュリティを強化することができます。
不正ログインが疑われる事象は、いずれも2段階認証機能が未設定の人に起きています。
ご自身の情報を守るためにも、2段階認証機能の活用をお願いします。
なお、今後の対応として、メールによる2段階認証の追加及びログイン時の2段階認証の必須化を予定しています。ただし、メールによる2段階認証は、認証キーが暗号化なしでインターネット上を流通するため、通信経路上で第三者により傍受されるリスクがあり、セキュリティ強度は下がります。私学事業団としてはGoogle認証システムを強く推奨します。

Google認証システムを利用した2段階認証の有効化の手順(スマートフォン)

認証システムの説明の図「1.アプリをダウンロード。2.二次元コードかセットアップキーを読み取る。3.認証コードの確認」

事前準備:スマートフォンにGoogleの認証システムアプリ(Google Authenticator)をインストールする。

  1. スマートフォンのPep Upアプリの「その他」メニュー>「2段階認証設定」をタップ、もしくはスマートフォンのブラウザ版(Chrome、Safariなど)の右上の3行アイコン>「設定」>「2段階認証」項目を表示します。
  2. Pep Upから表示される「セットアップキー」をコピーします。
    セットアップキーは一人ずつ固有のもので他人と共有できません。
  3. 事前準備でインストールした認証システムアプリ(Google Authenticator)を起動し、右下の+ボタン>「セットアップキーを入力」をタップします。
  4. 各項目を以下のように入力し、[追加]ボタンを押します。
    ・アカウント:任意の名前を入力(例:「Pep Up 2段階認証」などわかりやすい名称)
    ・鍵:ステップ2でコピーしたセットアップキーをペースト
    ・鍵の種類:「時間ベース」を選択
  5. 認証システムアプリ(Google Authenticator)に表示される6桁の数字を、ステップ1で表示した画面の「3.認証コードの確認」のフォームに入力し、[認証を有効化]ボタンを押します。これで有効化は完了です。

(注釈)
上記手順のアプリ等の仕様は、変更になる場合があります。
PCとスマートフォンを併用した手順や、その他の詳細は下記リンクを確認してください。

パスワードの見直し(お願い)

不正ログイン防止のため、以下の注意点を参考にご自身のパスワードの見直しをお願いします。

注意点

  • 複数のウェブサービスで同一のパスワードを利用している場合は、それぞれに異なるパスワードを設定してください。 
  • 生年月日や連続した数字、単純なパスワードを利用している場合は、より強固なものに変更してください。 

不正アクセスの確認方法

  • パソコンからPep Upにログインした場合、「Pep Upにログインが行なわれました」という件名のメールが登録メールアドレスに送信されます。
  • パソコンからPep Upにログイン後、「設定」画面のログイン履歴からご確認できます。
  • メールやログイン履歴から、身に覚えのない時間帯や端末からのアクセスが見つかった場合は、速やかにパスワードの再設定を行ない、Pep Upカスタマーサポートへ連絡してください。  

問い合わせ先

株式会社JMDC Pep Upカスタマーサポート 

(注釈)
Pep UpのログインIDやパスワードを忘れた場合も、上記Pep Upカスタマーサポートへお問い合わせください。 なお、ログインIDはメールアドレスです。Pep Up事務局から定期的にキャンペーン等の案内が届いているメールアドレスを確認してください。私学事業団及び株式会社JMDCでは、加入者等のパスワード情報は保有していません。パスワードを忘れた場合は、ログイン画面に表示される「パスワードを忘れた場合」の手順に沿って再設定してください。

担当部署

福祉部保健課

電話:03-3813-5321(代表)

一覧に戻る

ページの
先頭へ