piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

ゆうちょ銀行のmijica Webへの不正ログインについてまとめてみた

2020年10月3日、ゆうちょ銀行は同社のデビットプリペイドカード「mijica」の専用Webサイト(mijica Web)が不正ログイン被害を受け、会員情報の一部が第三者に取得された可能性があると発表しました。また9月23日に発表されたmijicaの不正利用被害との関連についても報じられています。ここでは関連する情報をまとめます。

mijica Webが受けた不正ログイン

不正ログインの可能性のある会員数 1,422人
  • mijicaWebに対し大量のログイン試行が行われ*1、平常時と比較して大量のログイン失敗(100倍~800倍)が発生していた。*2
  • ゆうちょ銀行は不正ログイン後に会員情報の一部が参照可能で、外部へ情報が流出した可能性があると説明している。
  • 不正ログインの可能性があるとされた会員数はログイン成功した履歴の内、画面遷移が異常に早く機械的操作が疑われるものを抽出している。
  • mijicaの会員数は約20万人。*3
  • 不正ログインは今回調査されたログにおいて、4つの期間(合計19日間)で確認された。
f:id:piyokango:20201005013900p:plain
mijica Web不正ログインとmijica不正利用の発生日
mijica 不正利用との関連
f:id:piyokango:20201005010405p:plain
不正利用被害者はいずれも不正ログイン被害を受けていた
  • mijicaの送金機能を悪用した不正利用に関して、その被害者54人が今回不正ログイン被害が確認された会員に含まれていた。
  • ゆうちょ銀行は今回確認されたmijica Webの不正ログインとmijicaの不正利用に何らかの関係があるとみている。*4 (9月23日発表されたmijicaの不正利用においてもmijica Webに不正ログインが行われたことが記載されていた。)
流出した可能性がある情報

会員サイトより入手可能な情報は以下。

  • 氏名(名前、漢字)
  • 生年月日
  • カード番号下4桁
  • カード有効期限
  • 購買履歴
f:id:piyokango:20201005011349p:plain
みじか版mijicaカード(ゆうちょ銀行サイトより)
  • ここで言う「カード」とはゆうちょ銀行より発行されたVisaデビット・プリペイドカードを指す。
  • ゆうちょ銀行は会員情報の不正取得による被害は10月4日時点で確認していないと発表。
  • mijica Webには送金機能も存在したが、カード裏面の番号が必要。

mijica不正利用を受けた総点検で把握

  • 不正アクセスは2020年10月2日深夜に確認。
  • セキュリティ総点検タスクフォースによる各資金決済サービスの点検において確認されたもの。
  • mijicaの送金不正利用等を受け2020年9月25日に設置されたタスクフォース。10月末までに総点検を行うことを発表していた。
ゆうちょ銀行の対応
f:id:piyokango:20201005011639p:plain
当面停止となったmijica Web
  • mijica Webの当面停止。
  • 不正ログインの可能性が確認された会員のカード利用の一時停止。
  • 被害の発生が判明した場合の可及的速やかな全額補償対応。
  • 調査対象期間を拡大し更なる不正ログイン被害の有無の調査。
関連タイムライン(mijica不正利用も含む)
日時 出来事
2020年7月28日~30日(3日間) mijica Webへ大量のログイン試行が発生。
2020年8月1日~4日(4日間) mijica Webへ大量のログイン試行事象が発生。
2020年8月8日 4名のmijicaの不正利用の発生。
2020年8月14日~20日(7日間) mijica Webへ大量のログイン試行事象が発生。
2020年9月6日 7名のmijicaの不正利用の発生。
2020年9月9日~13日(5日間) mijica Webへ大量のログイン試行事象が発生。
2020年9月15日 45名のmijicaの不正利用の発生。
2020年9月16日 20時45分 mijica カードの送金機能を停止。
2020年9月23日 ゆうちょ銀行がmijicaの不正利用被害を発表。
2020年9月25日 ゆうちょ銀行がセキュリティ総点検タスクフォースを設置。
2020年10月2日深夜 ゆうちょ銀行がmijica Webに対する不正ログイン被害を把握。
2020年10月3日夜 ゆうちょ銀行がmijica Webを停止し、不正ログイン被害を発表。
2020年10月4日 ゆうちょ銀行が不正ログイン被害詳細を第二報として発表。

更新履歴

  • 2020年10月5日 AM 新規作成

*1:ゆうちょ銀行「mijica」サイトに不正アクセス 個人情報流出か,NHK,2020年10月3日

*2:ゆうちょ銀、ミヂカ会員サイトを停止 不正アクセス判明,朝日新聞,2020年10月3日

*3:ゆうちょ銀「ミヂカ」 1422人に不正アクセス 個人情報漏えいの恐れ,毎日新聞,2020年10月4日

*4:ゆうちょサイト不正ログイン1422人分か 預金被害も,朝日新聞,2020年10月4日