日本貸金業協会は2月13日、協会員専用サイトが外部から不正アクセスを受け、情報漏えいがあったと発表しました。ここでは関連する情報をまとめます。
公式発表
- 2019年2月13日 [PDF] 協会員の皆さまのメールアドレス等の流出について(お詫び)
- 2019年2月15日 [PDF] 協会員の皆さまのメールアドレス等の流出について(第2報)
- 2019年2月22日 [PDF] 外部からの不正アクセスによる協会員さまの情報の流出について(お詫び)
インシデントタイムライン
| 日時 | 出来事 |
|---|---|
| 2018年1月7日 | 不正アクセスを受け管理者ID、パスワードが窃取される(1回目) |
| 2018年1月11日 | 不正アクセスを受け管理者ID、パスワードが窃取される(2回目) |
| 2018年1月15日 | 不正アクセスを受け管理者ID、パスワードが窃取される(3回目) |
| 2018年9月22日 | 不正アクセスを受け管理者ID、パスワードが窃取される(4回目) |
| : | 情報セキュリティ企業から情報漏えいの疑念について情報提供を受ける。 |
| 2019年2月13日 | 日本貸金業協会が協会員の情報漏えいを発表。(第一報) |
| 2019年2月20日 | 日本貸金業協会が漏えい原因を不正アクセスと把握。 |
| 2019年2月22日 | 日本貸金業協会が漏えい原因、及び漏えいした件数を修正。(第三報) |
漏えいした協会員の情報
協会員向け専用サイトにて用いる以下の情報が外部に漏えいした。
- 管理者ID(メールアドレス)
- 管理者パスワード
件数は以下の通り。
| 外部に流出していた情報 | 969件 |
|---|---|
| 詳細調査により判明した被害件数 | 1,066件 |
- 1,066件は2018年9月の不正アクセスによるもの。
- この内大半は2018年1月の不正アクセスで窃取されたものと重複していると推定。
情報が漏えいした原因
- 外部から協会員専用サイトが不正アクセスを受けたことによる。
- 不正アクセスの具体的な手口については触れられていないが対応策は講じたと発表。
発端は外部からの指摘
- 情報セキュリティ企業から情報漏えいの疑念の指摘を受け調査をしたところ発覚。
- 企業からの情報提供時期、連絡内容など詳細は明らかにされていない。
関連が疑われる情報はネット上で確認
以下はpiyokangoが確認したもの。
- 遅くとも2019年1月頃にインターネット上で入手可能な状態となっていた。
- ファイルの中身はメールアドレスとパスワードとみられる文字列のリストで969件。
- Have I Been Pwnedへの登録は行われていないデータが含まれている可能性がある。
更新履歴
- 2019年2月28日 AM 新規作成
