2014年6月26日、Creative Planning & Promotionが運営するアンケートサイト「CAPAT」で不正ログインの被害が発生していると同社が発表しました。ここではその関連情報をまとめます。
公式発表
(1) 被害状況
- 被害を受けたWebサイト CAPAT
不正ログインの被害状況
| 不正ログイン被害件数 | 最大11,502件 |
|---|---|
| ログイン試行回数 | 発表されていない |
| ログイン試行日数 | 2014年6月23日 18:26〜6月24日 9:57(約半日) |
| ログイン成功率 | − |
| 会員数 | 約105万人(2014年4月時点) |
流出した可能性のある情報
- ログイン後に閲覧可能な情報(以下項目は全部登録必須)
- 氏名
- 生年月日
- 性別
- 郵便番号
- 住所
- 電話番号
- メールアドレス
- 婚姻歴
- 世帯年収
- 同居子供人数・生年月日
- 職業情報(職種、従業員数)
- 住居形態(持家かどうかなど)
- 利用するコンビニ、スーパー
- 登録のきっかけ
- 外部アンケートの参加
金銭的被害
- 最大203件でポイント不正使用が発生
- 不正使用されたポイント総数は明らかにされていない。
- 不正使用されたユーザーへは6月26日にメールで連絡済。
(2) 発端
- CPPがユーザーから問い合わせを受けたことによる。
(3) 原因
- CPPはリスト型攻撃によるものと発表。
(4) 対応・対策
- 不正ログイン被害の発生について報告。
- 不正ログインされたユーザーへ電子メールで連絡。
- アカウントロックの措置が取られているかは不明。
- ログイン試行回数の制限を追加
- 不正ログインを試行したIPアドレスのアクセス遮断
- ポイントからAmazonギフト券への交換停止
(5) インシデントタイムライン
| 日付 | 出来事 |
|---|---|
| 6月23日 18時26分 | CAPATへリスト型攻撃が開始される。 |
| 6月24日※ | CPPがユーザーから問い合わせを受ける |
| 6月24日※ | CPPが調査を開始、不正ログインが発生していることを確認 |
| 6月24日 9時57分 | CAPATへのリスト型攻撃が終了 |
| 6月26日 | CPPがCAPATで不正ログインが発生していることを発表。 |
※6月24日はpiyokangoが推測して並べているだけでこの通りになっているかは分かりません。
(6) ログイン仕様
ログインID
- メールアドレスをIDにて使用する
- 100文字まで
- 変更可能
パスワード
- 8〜20文字
- 半角英数字が使用可能
その他
- 「password」でパスワード登録可能
更新履歴
- 2014/06/28 PM 新規作成
