みずほ「J-Coin Pay」試験システムに不正アクセス ビットコイン求める文言書き込まれ発覚

[ITmedia]

　みずほフィナンシャルグループは9月4日、みずほ銀行が提供するモバイル決済サービス「J-Coin Pay」のテスト用システムが不正アクセスを受け、加盟店担当者の連絡先などの情報が漏えいした可能性があると発表した。

　作業時の人為的ミスにより、ネットを通じて第三者がシステムにアクセス可能な状態になっていたことが原因。加盟店のデータが第三者によって削除され、ビットコインを要求する文言に書き替えられていたことで、不正アクセスが判明したという。

ニュースリリースより

　不正アクセスを受けたのは、J-Coin Payの加盟法人の情報7930件と、法人代表者、窓口の担当者など個人の情報1万539件（住所、電話番号、メールアドレスなど）、J-Coin Payに参加している一部金融機関32件のデータ。

　8月27日、第三者によって加盟店データが削除され、ビットコインを要求する文言に書き替えられていたことで、不正アクセスが発覚した。

　システムは本来、特定のIPアドレスからのみアクセスできる仕様だが、環境設定のミスによって、8月16日から27日にかけ、インターネットを通じて外部からアクセス可能になっており、IDとパスワードだけでログインできる状態だったという。また、作業終了後に削除すべきデータを削除し忘れるミスがあったことも発覚した。

　テストシステムへの外部からのアクセスは既に遮断した。不正アクセスのあったデータについては、現時点で「漏えいの可能性が排除できない」とし、対象の加盟店に対して個別に連絡したという。警察当局、監督当局にも報告し、再発防止に取り組んでいるという。

　J-Coin Payの本サービスは、テスト用システムと独立して運用しており、「一切影響はない」としている。J-Coin Payユーザーの情報にも影響はないという。