Pep Upの不正アクセス防止のための注意とお願い（第二報）

不正ログインの疑いに関する報告

健康情報ポータルサイト「Pep Up（ペップアップ)」（注釈1）において、第三者による不正アクセスが検知されました件について、令和7年6月20日付けでお知らせしましたが、6月24日未明より再度、パスワードリスト攻撃（注釈2）と思われる不正なリクエスト（注釈3）を検知し、私学事業団のPep Up利用者においても、9名が不正アクセスの影響を受けた可能性があるとサービス提供会社の株式会社JMDCより、6月27日に報告を受けました。

不正アクセスの内容と対応

該当する9名への対応は、株式会社JMDCが強制的にパスワードをリセット（アカウント凍結）するとともに、その旨を本人に連絡しています。また、健診結果等の要配慮個人情報のページへのアクセスやポイントの不正利用は確認されていません。
なお、前回同様、Pep Upの提供基盤（アプリケーション・サーバー・インフラ等を含みます）への不正アクセスの痕跡は確認されていません。推測しやすいパスワードを設定したアカウントや複数のサービスで同一のパスワードを利用しているアカウントが狙われた可能性があり、ポイントの不正取得を目的としたものであると推測されています。

（注釈1）
30歳以上の加入者（任意継続加入者を含みます）及び被扶養者が利用できるサービスです。
（注釈2）
他社サービスから流出した可能性のあるIDとパスワードの組み合わせリストを用いてログインを試みる攻撃をいいます。
（注釈3）
同一のIPアドレスから短時間に大量のログインを試みることをいいます。

不正アクセス防止のための自己対策

改めて、以下の通り不正アクセス防止のための対応策をご案内します。
不正ログインが疑われる事象は、いずれも2段階認証機能が未設定の人に起きています。
ご自身の情報を守るためにも、Pep Upのご利用の際には2段階認証の設定を行ってください。

【対策1】2段階認証機能の活用のお願い

通常Pep Upへのログインは、ID（メールアドレス）とパスワードで行なわれていますが、スマートフォンのGoogle認証システムアプリ（Google Authenticator）を使って、6桁の数字のワンタイムパスワードを使い、2段階で認証を行なう設定ができます。

Google認証システムを利用した2段階認証の有効化の手順（スマートフォン）

事前準備：スマートフォンにGoogleの認証システムアプリ（Google Authenticator）をインストールする。

1. スマートフォンのPep Upアプリの「その他」メニュー＞「2段階認証設定」をタップ、もしくはスマートフォンのブラウザ版（Chrome、Safariなど）の右上の3行アイコン＞「設定」＞「2段階認証」項目を表示します。
2. Pep Upから表示される「セットアップキー」をコピーします。
   セットアップキーは一人ずつ固有のもので他人と共有できません。
   
3. 事前準備でインストールした認証システムアプリ（Google Authenticator）を起動し、右下の＋ボタン＞「セットアップキーを入力」をタップします。
4. 各項目を以下のように入力し、[追加]ボタンを押します。
   ・アカウント：任意の名前を入力（例：「Pep Up 2段階認証」などわかりやすい名称）
   ・鍵：ステップ2でコピーしたセットアップキーをペースト
   ・鍵の種類：「時間ベース」を選択
5. 認証システムアプリ（Google Authenticator）に表示される6桁の数字を、ステップ1で表示した画面の「3.認証コードの確認」のフォームに入力し、[認証を有効化]ボタンを押します。これで有効化は完了です。

（注釈）
上記手順のアプリ等の仕様は、変更になる場合があります。
PCとスマートフォンを併用した手順や、その他の詳細は下記リンクを確認してください。

• 2段階認証とは何ですか – Pep Up よくある質問はこちら

2段階認証の方法は、メールによる設定方法もあります。ただし、メールによる2段階認証は、認証キーが暗号化なしでインターネット上を流通するため、通信経路上で第三者により傍受されるリスクがあり、セキュリティ強度は下がります。私学事業団としてはGoogle認証システムを強く推奨します。

【対策2】パスワードの見直し

不正ログイン防止のため、以下の注意点を参考にご自身のパスワードの見直しをお願いします。

注意点

• 複数のウェブサービスで同一のパスワードを利用している場合は、それぞれに異なるパスワードを設定してください。　
  
• 生年月日や連続した数字、単純なパスワードを利用している場合は、より強固なものに変更してください。　

2段階認証の方法は、メールによる設定方法もあります。ただし、メールによる２段階認証は、認証キーが暗号化なしでインターネット上を流通するため、通信経路上で第三者により傍受されるリスクがあり、セキュリティ強度は下がります。私学事業団としてはGoogle認証システムを強く推奨します。

【対策3】不正アクセスの確認

確認方法

• パソコンからPep Upにログインした場合、「Pep Upにログインが行なわれました」という件名のメールが登録メールアドレスに送信されます。
  
• パソコンからPep Upにログイン後、「設定」画面のログイン履歴からご確認できます。
• メールやログイン履歴から、身に覚えのない時間帯や端末からのアクセスが見つかった場合は、速やかにパスワードの再設定を行ない、Pep Upカスタマーサポートへ連絡してください。　　

問い合わせ先

株式会社JMDC　Pep Upカスタマーサポート　

• お問い合わせフォームはこちら

（注釈）
Pep UpのログインIDやパスワードを忘れた場合も、上記Pep Upカスタマーサポートへお問い合わせください。　なお、ログインIDはメールアドレスです。Pep Up事務局から定期的にキャンペーン等の案内が届いているメールアドレスを確認してください。私学事業団及び株式会社JMDCでは、加入者等のパスワード情報は保有していません。パスワードを忘れた場合は、ログイン画面に表示される「パスワードを忘れた場合」の手順に沿って再設定してください。

• Pep Upの不正アクセス防止のための注意とお願い（令和7年6月20日付）はこちら

一覧に戻る