2019年3月19日、クービックは予約システム「Coubic」が不正アクセスを受け情報が漏えいした可能性があると発表しました。ここでは関連する情報をまとめます。
インシデントタイムライン
日時 | 出来事 |
---|---|
2019年2月頃 | Coubicが不正アクセスを受けた可能性。 |
2019年3月18日 | 情報漏えいの可能性についてCoubicへ外部から情報提供。 |
2019年3月19日 | クービックが不正アクセス被害を発表。 |
2019年3月22日 | クービックが続報として不正アクセスの原因を発表。 |
2019年4月3日 | クービックが特定調査を終了したと発表。 |
漏えいした可能性のある情報
クービックはサービス提供者、提供サービス利用者それぞれで次の情報が漏れた可能性があると発表。
漏えいした範囲を特定するに足る情報が確認できず、流出データの特定は技術的に出来ないと判断。
- 氏名
- メールアドレス
- ハッシュ化されたパスワード
- 電話番号(サービス提供者のみ)
- クレジットカード情報の一部
クレジットカード情報の一部とは次の情報が該当する。
- カード番号下4桁の数字
- 有効期限
不正アクセスの原因
- クービックが利用する業務システムに不正ログイン
- 管理用パスワードの一部が漏えい
- Coubicの予約システムデータベースから情報を窃取
- 発端となった業務システムの詳細は明らかにされていない。
- 同様の事由による不正アクセスが発生しないよう対策は実施済みとクービックは説明。
Darkwebマーケットで販売か
- 漏えいしたデータがDarkwebマーケットで販売されていたと報じられた。
- 販売ページにはデータ件数内訳が次の通り説明されている。
メールアドレス | 150万件 |
---|---|
ハッシュ文字列 | 50万件 |
- ハッシュは「SHA256だが正確なアルゴリズムは不明」と記述されている。
- 販売価格は0.1569 BTC(約7万円相当)
- 販売者はLifebearと同じアカウント「Gnosticplayers」
ASPサービス被害による影響
Coubicを利用するユーザー(サービス提供者)による案内が掲示されている。
www.angel-r.jp
www.kazusa.or.jp
ameblo.jp
www.taito.co.jp
- 予約承りシステム クービック社 不正アクセスに関するお知らせ(伊東屋/キャッシュ)
- [PDF] 不正アクセスに関するお詫びとご報告 (琉球大学生活協同組合)
Coubicの予約システムへのリンクを張る際に用いられる文言で検索すると多数ヒットすることからこれらの案内はごく一部とみられる。
www.google.com
なお、クービックはこの事案による影響件数を公表していない。
更新履歴
- 2019年3月25日 AM 新規作成
- 2019年4月3日 PM 続報反映