株式会社みずほフィナンシャルグループは2019年9月4日、みずほ銀行が提供するデジタル通貨「J-Coin Pay(Jコイン)の加盟店管理に関わるテスト用システムが、第三者によって不正アクセスを受けたことを発表しました。日本経済新聞の報道によると、犯人は仮想通貨ビットコイン(Bitcoin/BTC)の支払いを要求しているとされています。
こちらから読む:金融庁、仮想通貨関連の”事務ガイドライン”を改正「国内ニュース」
加盟店関連情報「約18,400件」が流出
みずほフィナンシャルグループの発表によると、不正アクセスを受けたのは「加盟店である法人(7,930件)、および法人代表者・窓口担当者などの個人の名称や連絡先などの情報約1万8400件」だとされていますが、発表時点では対象となる加盟店に不審なメールや電話があったことは確認されていないとのことです。
具体的な内訳は、
・法人:7,930件
・法人代表者・窓口連絡担当者などの個人:10,539件
・Jコインに参画している一部金融機関名:32件
となっており、流出した情報は、
・名称(企業名、代表者氏名、連絡窓口担当者氏名)
・連絡先(住所、電話番号、メールアドレス)
・一部代表者の生年月日
だとされています。
なお不正アクセスを受けたテスト用システムは、Jコイン加盟店やユーザーの利用・決済に関するID・パスワード・口座番号・暗証番号などの情報は利用されていないため、これらの情報は不正アクセスを受けていないと説明されています。
また、登録預金口座との入出金・個人間送金・加盟店決済などの「決済サービス」をはじめとする、日々利用されているJコインのサービス提供システムは、十分なセキュリティと常時監視体制の下で”テスト用システムとは独立して”運用されているため、みずほ銀行のその他のシステムも含めて一切影響は無いとされています。
今回の不正アクセスは、2019年8月27日に発覚しており、これまでの調査では「手順の誤りによって一時的にテスト用システムにインターネットを通じた外部からのアクセスが可能な状況となっていたことが判明している」と説明されていますが、テスト用システムはすでに外部からのアクセスを遮断するなどの措置を行なっているとのことです。
現在もデータ漏えいの可能性が排除できていないため、対象となる加盟店には今回の不正アクセスについて個別に連絡を行なっているとのことです。
犯人は「仮想通貨ビットコイン」を要求
日本経済新聞の報道によると、テスト用システムにログインするためには本来ならばIPアドレスなどによる複数の認証が必要となるものの、8月16日〜27日の間は作業手順のミスによってIDとパスワードだけでログインできる状態になっており、開発作業を終えたあとに削除すべきデータも消し忘れていたと報じられています。
また、27日の発覚時点では加盟店データが削除されており、その代わりに仮想通貨ビットコイン(BTC)を要求する文言が残されていたとも報告されています。
先日3日に金融庁が報告した内容では、2018年4月からは仮想通貨関連の相談件数が徐々に減少していることが報告されていましたが、ビットコイン価格が上昇すると仮想通貨関連の事件や相談件数も上昇する傾向があるため、今後も注意が必要であると言えるでしょう。
