みずほ銀行が3月よりサービスを開始している J-Coin Pay のテスト用システムが不正アクセスを受けたようです。調べた結果をまとめてみました。
概要
- 不正アクセスを受けたシステム
みずほ銀行 J-Coin Pay のテスト用システム
(正式サービスのURLは https://j-coin.jp/ ※被害が発生したサイトではない。)
...
いや、まさか、、、ね? - 流出したもの
名称、住所、電話番号、Email、一部生年月日 -
内訳
法人 : 7,930件
法人代表者、連絡担当者:10,539件
参画金融機関名 :32件
※ 利用された報告なし
※ Jコイン加盟店、ユーザのID、パスワード、口座番号、暗証番号はアクセスされていない
※ 他システムへの影響は一切ない -
わかっている事
テスト用システムに外部からアクセス可能な状態でIDとパスワードだけでログイン可能な状態だった
8月16日から27日にかけて、手順のミスにより一時的に上記が発生(※1、日経新聞より)
削除すべきデータも消し忘れていた(※1、日経新聞より)
加盟店データが何者かに削除され、その代わりにビットコインを要求する文言が残されていた(※1、日経新聞より)
「リスト型攻撃」を受けて、加盟店に関する情報が流出した可能性(※2、日経TECHより)
※ 既に外部からのアクセスは遮断済み
※ これ以外にアクセス可能になった理由は言及なし
時系列
8月16日 手順のミスにより外部からIDパスワードだけでアクセス可能な状態に
8月27日 テスト用システムで使用していた加盟店関連データへの不正なアクセスを認識
同 外部からのアクセスを遮断
8月30日 みずほ銀行キャッシュレススタートキャンペーンキャッシュバック遅延のお知らせ(関連は不明)
9月4日 公式発表
[出典] https://www.mizuhobank.co.jp/release/pdf/20190904release_jp.pdf
Jコインについて
公式HP(https://j-coin.jp/)
※ 2019/09/04 20時時点で本件についての言及なし
サービスの概要
- QRコードを利用したスマートフォン決済アプリ
- 地方銀行約60行の銀行口座と連携
- 2月20日発表、3月1日開始
- 金融機関の預金口座と紐づいている。
- 口座に預けてあるおカネをチャージすることもでき、店舗での決済もできる。
※1 : https://www.nikkei.com/article/DGXMZO49406760U9A900C1EE9000/
※2 : https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05893/
更新履歴
2019年9月4日PM 初稿、日経新聞の報道を追加、テストサイト?のキャプチャ追加