piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

キョードー東京チケットオンラインの情報漏えいについてまとめてみた

2019年3月16日、キョードー東京はチケット販売サイトで別のユーザー情報が一時的に表示された可能性があるとして情報漏えいについて発表しました。ここでは関連する情報をまとめます。

問題が発生したサイト

f:id:piyokango:20190317133721p:plain
キョードー東京チケットオンライン
https://ticket.kyodotokyo.com

  • 2019年3月16日 7時頃~2019年3月17日現在メンテナンス中
  • メンテ中はチケット購入、会員情報管理が不可。

インシデントタイムライン

公式 日時 出来事
同日 9時頃 チケットオンラインが高負荷状態となりシステムエラーが発生。
  同日 11時以降 Fantasy on Ice 2019 in SENDAIの抽選販売が開始。
  同日 チケットサイトのシステムエラーの報告がTwitterで複数。
2019年3月16日 4時7分頃 サイトシステム会社が改善措置を実施。
  同日 ログイン後に、別のユーザー情報が表示されるといった報告がTwitterで複数。
  同日 7時頃 キョードー東京がチケットサイトを停止。
同日 8時17分頃まで チケットサイトで別のユーザー情報が表示される不具合が発生。
同日 キョードー東京がチケットサイトのサービス停止を発表。
同日 キョードー東京がユーザー情報の漏えいについてお詫び。

発生原因

  • チケットサイトのシステム会社が行った改善措置に不十分な点があったため。

情報漏えいの可能性がある項目

  • 2019年3月16日 4時7分~8時17分の4時間10分にかけてアクセスしたユーザーが対象。
対象件数 最大1,600件

以下の項目が漏えいの対象とされる項目。全て表示された項目なのかは不明。

  • 氏名
  • 性別
  • 電話番号
  • 住所
  • 生年月日
  • メールアドレス
  • 秘密の質問
  • 秘密の質問の答え
  • ID
  • パスワード

支払いに係る次の情報は対象に含まれていない。

  • 銀行口座情報
  • クレジットカード情報(等の信用情報)

漏えい対象か不明な情報

新規登録ページに含まれる次の項目の有無については触れられていない。

  • 利用サービスの登録
  • ジャンル
  • 氏名カタカナ
  • 郵便番号

またSNSで報告の上がっていたログイン後に利用できる機能については触れられていない。

  • 申し込み履歴
  • お気に入り機能


別の人の情報はいつ表示されていたか

SNSでは次の時点で別人の情報が表示されていたという報告がある。

  • ログインメニュー
  • チケット購入の最終確認画面

パスワードはリマインダーで再通知

  • 元のパスワードが可読可能な保存だったかはリリース中で触れられていない。
  • 標準機能画面でパスワードを直接表示する仕組みは確認できなかった。(piyokango調べ)
  • パスワードを忘れた場合はリマインダーを用いてメール、または郵送で通知される仕組みがとられている。

f:id:piyokango:20190317133557p:plain

  • 通知後の案内(例えばパスワード再変更など)は記述されていない。
  • 誤表示以外に別のユーザーの情報が編集可能であった場合はメールアドレスを変更することでパスワードが漏れる可能性は考えられる。

パスワードの要件は画面中に記述されていないが、HTMLでは20文字までとなっていた。
f:id:piyokango:20190317133508p:plain
秘密の質問は次の4つから選択するもの。
f:id:piyokango:20190317133455p:plain

対象時間にズレ

対象の時間が報道、関係組織によって微妙に異なっていた。

共同通信 2019年3月16日 4時5分頃~8時15分頃
NHK 2019年3月16日 7時にサイト停止(~7時頃?)
アイスクリスタル 2019年3月16日 3時20分頃~8時17分頃

影響を受けたイベント「Fantasy on Ice 2019」

関連不明な事象「HTTP接続だった」


  • 一部ユーザーはログインページがHTTP接続の状態であったことを申告している。
  • 別ページだが16日8時頃にツイートではHTTPS接続の画面であったため経緯、関連は不明。


更新履歴

  • 2019年3月17日 PM 新規作成