2019年3月16日、キョードー東京はチケット販売サイトで別のユーザー情報が一時的に表示された可能性があるとして情報漏えいについて発表しました。ここでは関連する情報をまとめます。
公式発表
- 2019年3月16日 第一報 キョードー東京チケットオンライン サービス停止のお詫びとご報告
- 2019年3月16日 第二報 キョードー東京チケットオンライン 個人情報漏えいのお詫びとご報告
問題が発生したサイト
キョードー東京チケットオンライン
https://ticket.kyodotokyo.com
- 2019年3月16日 7時頃~2019年3月17日現在メンテナンス中
- メンテ中はチケット購入、会員情報管理が不可。
インシデントタイムライン
| 公式 | 日時 | 出来事 |
|---|---|---|
| ✔ | 同日 9時頃 | チケットオンラインが高負荷状態となりシステムエラーが発生。 |
| 同日 11時以降 | Fantasy on Ice 2019 in SENDAIの抽選販売が開始。 | |
| 同日 | チケットサイトのシステムエラーの報告がTwitterで複数。 | |
| ✔ | 2019年3月16日 4時7分頃 | サイトシステム会社が改善措置を実施。 |
| 同日 | ログイン後に、別のユーザー情報が表示されるといった報告がTwitterで複数。 | |
| 同日 7時頃 | キョードー東京がチケットサイトを停止。 | |
| ✔ | 同日 8時17分頃まで | チケットサイトで別のユーザー情報が表示される不具合が発生。 |
| ✔ | 同日 | キョードー東京がチケットサイトのサービス停止を発表。 |
| ✔ | 同日 | キョードー東京がユーザー情報の漏えいについてお詫び。 |
発生原因
- チケットサイトのシステム会社が行った改善措置に不十分な点があったため。
情報漏えいの可能性がある項目
- 2019年3月16日 4時7分~8時17分の4時間10分にかけてアクセスしたユーザーが対象。
| 対象件数 | 最大1,600件 |
|---|
以下の項目が漏えいの対象とされる項目。全て表示された項目なのかは不明。
- 氏名
- 性別
- 電話番号
- 住所
- 生年月日
- メールアドレス
- 秘密の質問
- 秘密の質問の答え
- ID
- パスワード
支払いに係る次の情報は対象に含まれていない。
- 銀行口座情報
- クレジットカード情報(等の信用情報)
漏えい対象か不明な情報
新規登録ページに含まれる次の項目の有無については触れられていない。
- 利用サービスの登録
- ジャンル
- 氏名カタカナ
- 郵便番号
またSNSで報告の上がっていたログイン後に利用できる機能については触れられていない。
- 申し込み履歴
- お気に入り機能
キョードー東京、ログインしてない状態なのにログイン中のとこに知らない人の名前が出てきて申込履歴とかお気に入り機能も見れちゃうんだけどこれどうなってるの😅😅そしてお気に入り機能を押すとまた違う別の名前が出てきたりする😅計3人の名前出てきた😅こわ😅
— 🐻さきそ🐝 (@meowmeow_y) March 15, 2019
別の人の情報はいつ表示されていたか
SNSでは次の時点で別人の情報が表示されていたという報告がある。
- ログインメニュー
- チケット購入の最終確認画面
パスワードはリマインダーで再通知
- 元のパスワードが可読可能な保存だったかはリリース中で触れられていない。
- 標準機能画面でパスワードを直接表示する仕組みは確認できなかった。(piyokango調べ)
- パスワードを忘れた場合はリマインダーを用いてメール、または郵送で通知される仕組みがとられている。
- 通知後の案内(例えばパスワード再変更など)は記述されていない。
- 誤表示以外に別のユーザーの情報が編集可能であった場合はメールアドレスを変更することでパスワードが漏れる可能性は考えられる。
パスワードの要件は画面中に記述されていないが、HTMLでは20文字までとなっていた。
秘密の質問は次の4つから選択するもの。
対象時間にズレ
対象の時間が報道、関係組織によって微妙に異なっていた。
| 共同通信 | 2019年3月16日 4時5分頃~8時15分頃 |
|---|---|
| NHK | 2019年3月16日 7時にサイト停止(~7時頃?) |
| アイスクリスタル | 2019年3月16日 3時20分頃~8時17分頃 |
影響を受けたイベント「Fantasy on Ice 2019」
- Fantasy on Ice 2019主催は仙台公演会員向け販売を中止。
- 仙台公演はサイト高負荷の発端となったともみられる人気イベント。
- [PDF] キョードー東京からの案内の掲載
- 第一報 [https://www.icecrystalnet.com/news/190316_000790.html:title=https://www.icecrystalnet.com/news/190316_000790.html:title=【重要】キョードー東京チケットオンライン システム障害発生によるサービス 停止のお知らせ]
- 第二報 【重要】キョードー東京サービス停止における会員販売の対応について
関連不明な事象「HTTP接続だった」
キョードー東京のログインページ、アドレスバーに「安全ではありません」と出てる。こんなの初めて見た。ハッキングでもされたのか?恐ろしい。 pic.twitter.com/PrNEpyjrj1
— makomina🥇全力!! (@MakominaBaby) March 15, 2019
- 一部ユーザーはログインページがHTTP接続の状態であったことを申告している。
- 別ページだが16日8時頃にツイートではHTTPS接続の画面であったため経緯、関連は不明。
キョードー東京さんよ
— リゼルクダ (@Rizenlukda) March 15, 2019
繋がるのは改善されたけど
タイムアウトを連続で表示させるのやめてくれ…
ポプ子になっちまう… pic.twitter.com/HT3UP436OJ
更新履歴
- 2019年3月17日 PM 新規作成