2019年9月4日、みずほフィナンシャルグループは同社がサービスを提供しているキャッシュレス決済システム J-Coin Payにおいて、テスト用に構築されたシステムが外部から不正アクセスを受け、システム内で管理していた加盟店等の情報が外部へ流出した可能性があるとして、被害を発表しました。その後、システムに保存されたデータが削除され、ビットコインを要求するメッセージが記録されていたとも報じられています。ここでは関連する情報をまとめます。
みずほフィナンシャルグループの発表
- 2019年9月4日 [PDF] J-Coin Pay 加盟店管理に関わるテスト用システムへの不正アクセスについて
| 日時 | 出来事 |
|---|---|
| 2019年8月16日~27日 | テスト用システムのIPアドレス制限等が外れた状態となっていた。 |
| 2019年8月27日 | テスト用システムの加盟店データの削除が発生。みずほFGが不正アクセスを把握。 |
| 2019年9月4日 | みずほFGがJ-Coin Payテスト用システムへの不正アクセス被害を発表。 |
被害はデータ削除
- テスト用システムに保存されていた加盟店等の情報が削除されていた。
- システム上にはビットコインを要求するメッセージが残されていた。
- ビットコイン要求のメッセージの発見を受け、不正アクセス被害を確認した。
- 2019年9月4日時点で加盟店への不審なメール、電話などは確認されていない。
- 削除されたデータやメッセージへの対応はみずほFGのリリースでは確認できなかった。
流出の可能性がある情報
不正アクセスにより外部への流出の可能性が否定できないとして以下の情報が影響を受けたと発表。
| ①J-Coin Pay加盟店法人等の情報 | 7,930件 |
|---|---|
| ②J-Coin Pay加盟店法人等の個人の情報 | 10,539件 |
| ③J-Coin Pay参画の金融機関名 | 32件 |
①、➁の情報には次のものが含まれていた。
- 企業名
- 代表者氏名
- 連絡窓口担当者氏名
- 住所
- 電話番号
- メールアドレス
- 一部代表者の生年月日
被害を受けたテスト用システム
- 実際のサービスには使用されない開発用の環境。
- 決済サービスや関連システムとは独立しており、他システムへの影響はない。
- ID、パスワード、預金口座等利用者の情報は格納されていなかった。
原因は作業ミスと説明
みずほFGは発表や取材に対して次を理由として説明している。
日本経営協会の被害事例
- 2019年8月30日 [PDF] 不正アクセスによるお客様情報流出に関するお詫びとお知らせ
- 同協会ECサイトで利用しているデータベースが削除され、ビットコインが要求されるメッセージが保存されていた。
- 同協会へ要求されたビットコインは0.03 BTC(約34000円相当)
削除されたデータは人質?
- Impervaは2017年にデータベースを狙った身代金を要求する攻撃が起きていることを報告している。
- その当時、同社が観測した2つの事例においてはデータベースの削除だけ行われており、データを盗み出すような挙動が見られなかったことから、身代金支払いによる被害回復の可能性は低いとして支払いを推奨していなかった。
更新履歴
- 2019年9月5日 AM 新規作成
- 2019年9月5日 PM 原因箇所について表現を修正
*1:パスワードが第三者に破られるようなものだったかの説明は確認できなかった。
*2:みずほ銀行 スマホ決済で不正ログイン 利用者情報含まれず,NHK,2019年9月4日
