2020年10月3日、ゆうちょ銀行は同社のデビットプリペイドカード「mijica」の専用Webサイト(mijica Web)が不正ログイン被害を受け、会員情報の一部が第三者に取得された可能性があると発表しました。また9月23日に発表されたmijicaの不正利用被害との関連についても報じられています。ここでは関連する情報をまとめます。
mijica Webが受けた不正ログイン
| 不正ログインの可能性のある会員数 | 1,422人 |
|---|
- mijicaWebに対し大量のログイン試行が行われ*1、平常時と比較して大量のログイン失敗(100倍~800倍)が発生していた。*2
- ゆうちょ銀行は不正ログイン後に会員情報の一部が参照可能で、外部へ情報が流出した可能性があると説明している。
- 不正ログインの可能性があるとされた会員数はログイン成功した履歴の内、画面遷移が異常に早く機械的操作が疑われるものを抽出している。
- mijicaの会員数は約20万人。*3
- 不正ログインは今回調査されたログにおいて、4つの期間(合計19日間)で確認された。
mijica 不正利用との関連
- mijicaの送金機能を悪用した不正利用に関して、その被害者54人が今回不正ログイン被害が確認された会員に含まれていた。
- ゆうちょ銀行は今回確認されたmijica Webの不正ログインとmijicaの不正利用に何らかの関係があるとみている。*4 (9月23日発表されたmijicaの不正利用においてもmijica Webに不正ログインが行われたことが記載されていた。)
流出した可能性がある情報
会員サイトより入手可能な情報は以下。
- 氏名(名前、漢字)
- 生年月日
- カード番号下4桁
- カード有効期限
- 購買履歴
- ここで言う「カード」とはゆうちょ銀行より発行されたVisaデビット・プリペイドカードを指す。
- ゆうちょ銀行は会員情報の不正取得による被害は10月4日時点で確認していないと発表。
- mijica Webには送金機能も存在したが、カード裏面の番号が必要。
mijica不正利用を受けた総点検で把握
- 不正アクセスは2020年10月2日深夜に確認。
- セキュリティ総点検タスクフォースによる各資金決済サービスの点検において確認されたもの。
- mijicaの送金不正利用等を受け2020年9月25日に設置されたタスクフォース。10月末までに総点検を行うことを発表していた。
ゆうちょ銀行の対応
- mijica Webの当面停止。
- 不正ログインの可能性が確認された会員のカード利用の一時停止。
- 被害の発生が判明した場合の可及的速やかな全額補償対応。
- 調査対象期間を拡大し更なる不正ログイン被害の有無の調査。
総点検の結果を受けサービス取りやめ
- セキュリティ総点検タスクフォースにより、22項目中14項目が未実施、または不十分であることが確認された。
問題が確認された14項目は次の通り。
| 処理 | 問題確認項目 |
|---|---|
| アカウント作成時 | ① 会員サイトの登録時に複雑なID・PWの設定を強制する |
| 口座紐づけ時 | ②カード到着前の決済・会員サイトの利用を不可とする b ユーザー認証強度の強化 |
| 会員サイトログイン時 | ④ ログイン時に閲覧できる情報を必要最小限とする ⑤ ログイン試行の防止 |
| チャージ時 | 11 チャージ額の制限 |
| 送金時 | ⑥ 送金実行時における追加認証、送金額の制限を必須とする |
| 決済時 | 13 決済額の制限 |
| 常時/その他 | 15 モニタリング体制の構築 16 モニタリング精度向上・強化 17 不正を検知した場合の対応体制の整備 18 事後的な調査によって再発防止へつなげること ⑧ 重要な諸届における追加の本人認証 h 不正検知、お客さまからの問い合わせ時の停止・復旧対応 |
- 数字1~18はキャッシュレス推進協議会ガイドライン必要要件チェックリスト
- 「a~i」「①~⑨」はゆうちょ銀行チェックリスト(アルファベットは上のガイドライン、丸数字は不正事案取引から策定)
当該調査を受け、11月9日にゆうちょ銀行社長が記者会見。
www.youtube.com
- 調査結果を受け、mijicaのサービスを取りやめを含めた判断を行う。(廃止決定の様な報道されるも記者会見での明言は避ける格好)*5
- mijicaのデビットカード、プリペイドカードの機能を他サービスへ移管、継続利用を可とする方針。
ゆうちょ銀行の公式発表
ゆうちょ銀行の発表は以下。
関連タイムライン(mijica不正利用も含む)
| 日時 | 出来事 |
|---|---|
| 2020年7月28日~30日(3日間) | mijica Webへ大量のログイン試行が発生。 |
| 2020年8月1日~4日(4日間) | mijica Webへ大量のログイン試行事象が発生。 |
| 2020年8月8日 | 4名のmijicaの不正利用の発生。 |
| 2020年8月14日~20日(7日間) | mijica Webへ大量のログイン試行事象が発生。 |
| 2020年9月6日 | 7名のmijicaの不正利用の発生。 |
| 2020年9月9日~13日(5日間) | mijica Webへ大量のログイン試行事象が発生。 |
| 2020年9月15日 | 45名のmijicaの不正利用の発生。 |
| 2020年9月16日 20時45分 | mijica カードの送金機能を停止。 |
| 2020年9月23日 | ゆうちょ銀行がmijicaの不正利用被害を発表。 |
| 2020年9月25日 | ゆうちょ銀行がセキュリティ総点検タスクフォースを設置。 |
| 2020年10月2日深夜 | ゆうちょ銀行がmijica Webに対する不正ログイン被害を把握。 |
| 2020年10月3日夜 | ゆうちょ銀行がmijica Webを停止し、不正ログイン被害を発表。 |
| 2020年10月4日 | ゆうちょ銀行が不正ログイン被害詳細を第二報として発表。 |
| 2020年11月9日 | ゆうちょ銀行がキャッシュレス決済サービスの総点検結果を発表。 |
| 同日 | ゆうちょ銀行がmijicaのサービス取りやめを発表。 |
更新履歴
- 2020年10月5日 AM 新規作成
- 2020年11月10日 PM 続報反映(セキュリティ総点検タスクフォースの結果発表等)
*1:ゆうちょ銀行「mijica」サイトに不正アクセス 個人情報流出か,NHK,2020年10月3日
*2:ゆうちょ銀、ミヂカ会員サイトを停止 不正アクセス判明,朝日新聞,2020年10月3日
*3:ゆうちょ銀「ミヂカ」 1422人に不正アクセス 個人情報漏えいの恐れ,毎日新聞,2020年10月4日
*4:ゆうちょサイト不正ログイン1422人分か 預金被害も,朝日新聞,2020年10月4日
*5:ゆうちょ銀行「mijica」取りやめへ セキュリティー対策に不備,NHK,2020年11月9日
