piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Coubicへの不正アクセスについてまとめてみた

2019年3月19日、クービックは予約システム「Coubic」が不正アクセスを受け情報が漏えいした可能性があると発表しました。ここでは関連する情報をまとめます。

公式リリース

www.company.coubic.com

  • 管理用パスワード漏えい経路が判明したため22日に更新されている。

インシデントタイムライン

日時 出来事
2019年2月頃 Coubicが不正アクセスを受けた可能性。
2019年3月18日 情報漏えいの可能性についてCoubicへ外部から情報提供。
2019年3月19日 クービックが不正アクセス被害を発表。
2019年3月22日 クービックが続報として不正アクセスの原因を発表。
2019年4月3日 クービックが特定調査を終了したと発表。

漏えいした可能性のある情報

クービックはサービス提供者、提供サービス利用者それぞれで次の情報が漏れた可能性があると発表。
漏えいした範囲を特定するに足る情報が確認できず、流出データの特定は技術的に出来ないと判断。

  • 氏名
  • メールアドレス
  • ハッシュ化されたパスワード
  • 電話番号(サービス提供者のみ)
  • クレジットカード情報の一部

クレジットカード情報の一部とは次の情報が該当する。

  • カード番号下4桁の数字
  • 有効期限

不正アクセスの原因

f:id:piyokango:20190325005917p:plain

  1. クービックが利用する業務システムに不正ログイン
  2. 管理用パスワードの一部が漏えい
  3. Coubicの予約システムデータベースから情報を窃取
  • 発端となった業務システムの詳細は明らかにされていない。
  • 同様の事由による不正アクセスが発生しないよう対策は実施済みとクービックは説明。

Darkwebマーケットで販売か

f:id:piyokango:20190325000419p:plain

  • 漏えいしたデータがDarkwebマーケットで販売されていたと報じられた
  • 販売ページにはデータ件数内訳が次の通り説明されている。
メールアドレス 150万件
ハッシュ文字列 50万件
  • ハッシュは「SHA256だが正確なアルゴリズムは不明」と記述されている。
  • 販売価格は0.1569 BTC(約7万円相当)
  • 販売者はLifebearと同じアカウント「Gnosticplayers」

piyolog.hatenadiary.jp

ASPサービス被害による影響

Coubicを利用するユーザー(サービス提供者)による案内が掲示されている。
www.angel-r.jp
www.kazusa.or.jp
ameblo.jp
www.taito.co.jp

Coubicの予約システムへのリンクを張る際に用いられる文言で検索すると多数ヒットすることからこれらの案内はごく一部とみられる。
www.google.com
なお、クービックはこの事案による影響件数を公表していない。

更新履歴

  • 2019年3月25日 AM 新規作成
  • 2019年4月3日 PM 続報反映