2023年11月22日、J:COMは同社のサービスであるメッシュWi-Fiのアプリ一部利用者および同社からメッシュWi-Fiサービスの提供を受けているケーブルテレビ会社の一部の利用者の情報が不正アクセスにより外部に流出したと公表しました。ここでは関連する情報をまとめます。
米国企業への不正アクセスが発端
- 不正アクセスはJ:COMに直接行われたのではなく、同社へメッシュWi-Fiサービスの提供を行っていたPlume Designが被害にあったことを発端とするもの。*1 Plume社は米国カリフォルニアに本社を置くスマートWifiなど、45か国以上でSaaS型ビジネスを行っている企業。Plume社が運用していたモバイルアプリのアクセスログサーバーに対して不正アクセスが行われ、サーバー上からJ:COM、ケーブルテレビ事業者の一部の顧客含む情報が外部に流出した。サービス提供にあたり、J:COMはカスタマイズ版のPlume社のアプリを、ケーブテレビ事業者はPlume社のアプリ(HomePass by Plume)を利用者向けに提供していた。
- JCOM及びケーブルテレビ事業者の利用客が影響を受けた件数等の状況および影響を受けた可能性があるとして関連する公表を行っているケーブルテレビ事業者は以下の通り。
対象サービス | 流出件数 | 流出した項目 |
---|---|---|
J:COM提供の次世代AI Wi-Fi | 226,832件(アプリ利用者) | 氏名 |
ケーブルテレビ事業者提供のメッシュWi-Fi | 5,109件(アプリ利用者) | 氏名、メールドレス(氏名は顧客番号の場合あり) |
- 飯能ケーブルテレビ
- 上婦負ケーブルテレビ
- 福井ケーブルテレビ
- となみ衛星通信テレビ
- CCNet (第2報)
CCNは18件のアプリに登録した顧客氏名、メールアドレスの流出を確認したと公表している。 - こしの都ネットワーク
- キャッチネットワーク
- 金沢ケーブル
- スターキャット・ケーブルネットワーク
- ケーブルテレビ
- 新川インフォメーションセンター
- KBN (第2報)
KBNは約50名の個人情報の一部が流出している事実を確認したと公表している。 - ぶんぶんテレビ
ぶんぶんテレビは101件のアプリに登録した顧客氏名、メールアドレスの流出を確認したと公表している。
フォーラムにデータ窃取を主張する投稿
- J:COM公表との関連は判明していないが、海外のハッキングフォーラム上で2023年11月11日および14日にPlume社から1,500万件の情報を含むWifiデータベース20GB相当のデータの窃取したと主張する投稿が行われていた。HackReadによれば、Plume社はこの投稿を把握しており、既に調査を開始していると取材に答えている。*2 なお、J:COMが今回Plume社の販売代理店より報告を受けたのは11月21日だった。
- 攻撃者は主張を示す根拠として顧客情報と従業員の情報とみられるCSVファイルを公開しており、顧客情報と主張するCSVファイルには約2万6千件、従業員情報と主張するものには約3000件のデータが含まれていた。顧客情報は氏名、メールアドレス、国、デバイスの詳細情報などが含まれている。なお公開されている2つのファイルにはパスワードは含まれていない。
- さらに今回の情報流出には2021年の退職者がかかわっていたとする投稿がXに行われており、退職後もアクセス権が残っていたとしている。なおこのXのアカウントが一連の事案への関係者であることを示すためか、さきのフォーラムへの投稿にはXのアカウントについても記載が行われている。
更新履歴
- 2023年11月27日 PM 新規作成
- 2023年12月6日 PM 続報追記(KBNの第2報)
- 2023年12月8日 PM 続報追記(CNNの第2報)
- 2023年12月19日 AM 続報追記(ぶんぶんテレビ)
*1:お客さまの個人情報漏えいに関するお知らせとお詫び,JCOM株式会社,2023年11月22日
*2:Hackers Claim Major Data Breach at Smart WiFi Provider Plume,HackREAD,2023年11月15日