2019年3月16日、キョードー東京はチケット販売サイトで別のユーザー情報が一時的に表示された可能性があるとして情報漏えいについて発表しました。ここでは関連する情報をまとめます。
公式発表
- 2019年3月16日 第一報 キョードー東京チケットオンライン サービス停止のお詫びとご報告
- 2019年3月16日 第二報 キョードー東京チケットオンライン 個人情報漏えいのお詫びとご報告
- 2019年3月21日 第三報 キョードー東京チケットオンライン個人情報漏洩のお詫びとサービス再開日時決定のご案内(3/21 12:00)
トラブルが発生したサイト
キョードー東京チケットオンライン
https://ticket.kyodotokyo.com
- 2019年3月16日 7時頃~2019年3月17日現在メンテナンス中
- メンテ中はチケット購入、会員情報管理が不可。
インシデントタイムライン
| 公式 | 日時 | 出来事 |
|---|---|---|
| ✔ | 同日 9時頃 | チケットオンラインが高負荷状態となりシステムエラーが発生。 |
| 同日 11時以降 | Fantasy on Ice 2019 in SENDAIの抽選販売が開始。 | |
| 同日 | チケットサイトのシステムエラーの報告がTwitterで複数。 | |
| ✔ | 2019年3月16日 4時7分頃 | サイトシステム会社が改善措置を実施。 |
| 同日 | ログイン後に、別のユーザー情報が表示されるといった報告がTwitterで複数。 | |
| 同日 7時頃 | キョードー東京がチケットサイトを停止。 | |
| ✔ | 同日 8時17分頃まで | チケットサイトで別のユーザー情報が表示される不具合が発生。 |
| ✔ | 同日 | キョードー東京がチケットサイトのサービス停止を発表。 |
| ✔ | 同日 | キョードー東京がユーザー情報の漏えいについてお詫び。 |
| ✔ | 2019年3月21日 12時 | キョードー東京が続報、再開時期について発表。 |
| ✔ | 2019年3月27日 12時 | チケットオンライン再開予定。 |
発生原因
- チケットサイトのシステム会社が行った改善措置に不十分な点があったため。
情報漏えいの可能性がある項目
- 2019年3月16日 4時7分~8時17分の4時間10分にかけてアクセスしたユーザーが対象。
| 対象件数 | 最大1,600件 |
|---|
以下の項目が漏えいの対象とされる項目。全て表示された項目なのかは不明。
| 購入手続き中の購入者確認画面 完了画面 |
氏名、電話番号、住所、メールアドレス |
|---|---|
| 新規会員情報登録 会員情報変更画面 |
氏名、氏名カナ、電話番号、住所、メールアドレス、性別、生年月日、秘密の質問とその答え |
| ログイン画面 新規会員本登録完了画面 |
ログインID |
| その他の画面 | 氏名 |
支払いに係る次の情報は対象に含まれていない。
- 銀行口座情報
- クレジットカード情報(等の信用情報)
漏えい対象か不明な情報
新規登録ページに含まれる次の項目の有無については触れられていない。
- 利用サービスの登録
- ジャンル
- 郵便番号
またSNSで報告の上がっていたログイン後に利用できる機能については触れられていない。
- 申し込み履歴
- お気に入り機能
キョードー東京、ログインしてない状態なのにログイン中のとこに知らない人の名前が出てきて申込履歴とかお気に入り機能も見れちゃうんだけどこれどうなってるの😅😅そしてお気に入り機能を押すとまた違う別の名前が出てきたりする😅計3人の名前出てきた😅こわ😅
— 🐻さきそ🐝 (@meowmeow_y) 2019年3月15日
別の人の情報はいつ表示されていたか
SNSでは次の時点で別人の情報が表示されていたという報告がある。
- ログインメニュー
- チケット購入の最終確認画面
パスワードはリマインダーで再通知
- 元のパスワードが可読可能な保存だったかはリリース中で触れられていない。
- 標準機能画面でパスワードを直接表示する仕組みは確認できなかった。(piyokango調べ)
- その後の調査でパスワードは全画面でマスキングされていることから対象外と発表された。
- パスワードを忘れた場合はリマインダーを用いてメール、または郵送で通知される仕組みがとられている。
- 通知後の案内(例えばパスワード再変更など)は記述されていない。
- 誤表示以外に別のユーザーの情報が編集可能であった場合はメールアドレスを変更することでパスワードが漏れる可能性は考えられる。
パスワードの要件は画面中に記述されていないが、HTMLでは20文字までとなっていた。
秘密の質問は次の4つから選択するもの。
対象時間にズレ
対象の時間が報道、関係組織によって微妙に異なっていた。
| 共同通信 | 2019年3月16日 4時5分頃~8時15分頃 |
|---|---|
| NHK | 2019年3月16日 7時にサイト停止(~7時頃?) |
| アイスクリスタル | 2019年3月16日 3時20分頃~8時17分頃 |
影響を受けたイベント「Fantasy on Ice 2019」
- Fantasy on Ice 2019主催は仙台公演会員向け販売を中止。
- 仙台公演はサイト高負荷の発端となったともみられる人気イベント。
- [PDF] キョードー東京からの案内の掲載
- 第一報 [https://www.icecrystalnet.com/news/190316_000790.html:title=https://www.icecrystalnet.com/news/190316_000790.html:title=【重要】キョードー東京チケットオンライン システム障害発生によるサービス 停止のお知らせ]
- 第二報 【重要】キョードー東京サービス停止における会員販売の対応について
関連不明な事象「HTTP接続だった」
キョードー東京のログインページ、アドレスバーに「安全ではありません」と出てる。こんなの初めて見た。ハッキングでもされたのか?恐ろしい。 pic.twitter.com/PrNEpyjrj1
— makomina🥇全力!! (@MakominaBaby) 2019年3月15日
- 一部ユーザーはログインページがHTTP接続の状態であったことを申告している。
- 別ページだが16日8時頃にツイートではHTTPS接続の画面であったため経緯、関連は不明。
https://twitter.com/Rizenlukda/status/1106692658947190784
- ログイン画面への導線に一部HTTPで誘導されるものが存在していたとの指摘。
キョードー東京のページはhttpとhttpsが両方存在しており、httpsへのリダイレクトを怠っていたため、ログイン画面は導線によってhttpだったりhttpsだったりとバラバラだったようです。(普通にググって行くとhttpの方が上位でした)
— Yusuke OSUMI (@ozuma5119) March 17, 2019
昨日時点での確認スクショです: https://t.co/0aKPzZFcGY
更新履歴
- 2019年3月17日 PM 新規作成
- 2019年3月25日 PM 第三報反映
