株式会社みずほフィナンシャルグループは2019年9月4日、みずほ銀行が提供するデジタル通貨「J-Coin Pay(Jコイン)の加盟店管理に関わるテスト用システムが、第三者によって不正アクセスを受けたことを発表しました。
加盟店関連情報「約18,400件」が流出
みずほフィナンシャルグループの発表によると、不正アクセスを受けたのは「加盟店である法人(7,930件)、および法人代表者・窓口担当者などの個人の名称や連絡先などの情報約1万8400件」だとされていますが、発表時点では対象となる加盟店に不審なメールや電話があったことは確認されていないとのことです。
具体的な内訳は、
・法人:7,930件
・法人代表者・窓口連絡担当者などの個人:10,539件
・Jコインに参画している一部金融機関名:32件
となっており、流出した情報は、
・名称(企業名、代表者氏名、連絡窓口担当者氏名)
・連絡先(住所、電話番号、メールアドレス)
・一部代表者の生年月日
だとされています。
なお不正アクセスを受けたテスト用システムは、Jコイン加盟店やユーザーの利用・決済に関するID・パスワード・口座番号・暗証番号などの情報は利用されていないため、これらの情報は不正アクセスを受けていないと説明されています。
また、登録預金口座との入出金・個人間送金・加盟店決済などの「決済サービス」をはじめとする、日々利用されているJコインのサービス提供システムは、十分なセキュリティと常時監視体制の下で”テスト用システムとは独立して”運用されているため、みずほ銀行のその他のシステムも含めて一切影響は無いとされています。
今回の不正アクセスは、2019年8月27日に発覚しており、これまでの調査では「手順の誤りによって一時的にテスト用システムにインターネットを通じた外部からのアクセスが可能な状況となっていたことが判明している」と説明されていますが、テスト用システムはすでに外部からのアクセスを遮断するなどの措置を行なっているとのことです。
現在もデータ漏えいの可能性が排除できていないため、対象となる加盟店には今回の不正アクセスについて個別に連絡を行なっているとのことです。
犯人は「仮想通貨ビットコイン」を要求
日本経済新聞の報道によると、テスト用システムにログインするためには本来ならばIPアドレスなどによる複数の認証が必要となるものの、8月16日〜27日の間は作業手順のミスによってIDとパスワードだけでログインできる状態になっており、開発作業を終えたあとに削除すべきデータも消し忘れていたと報じられています。
また、27日の発覚時点では加盟店データが削除されており、その代わりに仮想通貨ビットコイン(BTC)を要求する文言が残されていたとも報告されています。
記事引用:仮想通貨ニュースビットタイムス
デジタル通貨「Jコイン」で不正アクセス被害|加盟店情報18,000件流出か https://t.co/Uuc5X17bfi #仮想通貨 #cryptocurrency #国内ニュース #デジタル通貨 #Jコイン #不正アクセス #情報流出 #みずほ
— BITTIMES – 仮想通貨ニュースメディア (@TheBitTimes) September 5, 2019
みずほ銀行のスマホ決済「Jコイン」、テスト用システムに不正アクセス 加盟店情報など漏えいの可能性https://t.co/nbq4fPJffd pic.twitter.com/NUgu9czECq
— ねとらぼ (@itm_nlab) September 4, 2019
Jコインペイに不正アクセスhttps://t.co/YXxh4vcMiW
— 共同通信公式 (@kyodo_official) September 4, 2019