【重要なお知らせ】不正ログインに関する最終報告

(2013年7月23日 16時00分 追記)

不正アクセスによる「なりすまし」ログインついての調査結果ご報告 (最終報告)

平成25年4月6日および9日付けにてご報告申し上げました不正アクセスによる「なりすまし」ログインにつきまして、クレジットカード情報漏洩事故の調査を行う第三者機関であるPayment Card Forensics株式会社に調査を依頼し、「サーバーへの不正侵入及び情報漏洩の懸念を示す形跡はなかった」との調査結果を受領しましたのでご報告申し上げます。なお、再発を防止する対策を導入以降は本件は発生しておらず、今回の不正アクセス対策は完了したと判断いたしましたことを併せてご報告申し上げます。

【1.不正アクセスの内容 (自社調査の結果)】
・eBookJapanサイトにおきまして、2013年4月5日(金)午前10時30分頃、サーバの高負荷が検知されたことから詳しい調査を行ったところ、4月2日から4月5日にかけて、779アカウントに対して不正の疑われるIPアドレスからログインが行われました。

  • 前回ご報告からのアカウント数の変更はございません。
  • 調査対象を2013年4月だけでなく、1月から3月まで広げましたが、3月以前分には該当する不正ログインは発見されませんでした。

・本件は「なりすまし」ログイン行為、即ち、不正の疑われる複数のIPアドレスからログインページに対して、予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為であることが判明いたしました。

  • つまり、大量アクセス行為を仕掛けてきた者は、当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手し、ユーザーがログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログインしようとし、上記件数についてはログインに成功してしまったということです。
  • そのように判断した根拠は、一つのログインID(メールアドレス)について試行するパスワードの数の少なさです。

○ ログイン成立分

IDあたりPW試行回数 該当ID数
1 386
2 347
3 37
4 4
5 5

(注) 1つのログインIDについてPWを試行した回数は最大5回までであり、1回しか試行していないのに正当したアカウントが半数近くを占めている。

○ ログイン失敗分

IDあたりPW試行回数 該当ID数
1 1327
2 72
3 20
4 7
5 3
6 1
9 1

注) 1つのログインIDについてPWを試行した回数は最大9回までであり、1回だけで断念しているアカウントが9割を占めている。

・なお、当社サーバーからログインID、パスワード、カード番号などの個人情報または決済情報が直接漏洩した形跡はございません。

【2.第三者機関による調査結果】
・クレジットカード情報漏洩事故の調査を行う第三者機関であるPayment Card Forensics株式会社の調査報告書に於いても以下のように総括されており、上記の判断が裏付けられました。

  • 「サーバーソフトウェアおよびWebアプリケーションの脆弱性を利用した不正侵入および情報漏洩の懸念を示す形跡はありませんでした。また、カード会員データを「伝送・処理・保存」していないため、当該加盟店(当社注: 当社を指します)よりカード会員データの漏洩リスクの可能性は殆どないと考えられます。」

【3.被害について】
事故発生から現時点に至るまで、今回の「なりすまし」ログインによるeBookJapanサイト内における金銭的な被害は発生しておりません。なお、「なりすまし」ログインされた方のパスワードは既に変更して、ご連絡しております。

その他の詳細は以下の通りです。

・eBookJapanサイトへの「なりすまし」ログイン

  • 2013年4月1日から4月5日にかけて、779アカウントに対し不正の疑われるIPアドレスからログインが行われました。
  • うち、eBookJapanサイト内のマイページにおいて、会員情報(お客様の「メールアドレス」「パスワード」「氏名」「生年月日」「性別」「住所(都道府県)」などが登録されているページ)が表示された件数が、549アカウント(同一ユーザーのIPアドレス重複分を含む)ありました。
  • また、「ワンタッチ銀行引落」という名称で実施している銀行決済に関して、eBookJapanサイト内のマイページにおいて口座番号情報が表示されており、該当する件数が、16アカウントありました。
  • また、「ワンタッチクレジット決済」という名称で実施しているクレジットカード決済に関して、当社が指定した仕様によりeBookJapanサイト内のマイページから決済代行会社の運営するページに遷移し、クレジットカード番号および有効期限が表示された件数が、47アカウントありました。
    ※なお、当社ではクレジットカード情報は保管しておりません。

・不正利用

  • eBookJapanサイトにおける不正利用の形跡はありません。

【4.対応内容】
・従前からの防御内容

  • 総当たり攻撃を防ぐためのアカウントロック
    同一のログインIDに対して、一定期間内に、一定回数以上パスワードを間違えると、一定期間ロックされます。
    これにより、機械的にパスワードを総当たりすることでログインしようとする不正を防ぐことが出来ます。

・今回追加した防御内容

  • 同一IPアドレスからのログイン制限
    同一のIPアドレスからログインフォームへのアクセスに制限をかけました。
    この結果、適法に同一IPアドレスから同時に多くのユーザーがログインしようとする場合にも制限をかけてしまう悪影響が生じる可能性がありますが、当面はセキュリティ確保を優先いたします。
  • マイページ内のワンタッチ銀行引落に登録している方の口座番号の非表示化
  • マイページから遷移可能な決済代行会社の運営するページにおける、クレジットカード番号および有効期限の非表示化
  • 不正の疑われるIPアドレスをブロック
  • 不正の疑われるIPアドレスからログインされたアカウントのパスワード初期化
    • 該当のお客様にはパスワード再設定のお願いをメールにて送付
  • パスワードを他のサービスと共有しないことのお願い
    • 重要なお知らせページ
    • ログイン画面
    • マイページ
    • 会員情報変更画面
    • パスワード再設定画面
    • 新規会員登録画面

※上記の対策により、4月6日以降は不正ログインは発生しておりません。

【5.今後の対応】
このたびの事件について必要な対策を講じたものと判断し、収束させて頂きます。
なお、今後本件に起因してお客様に金銭的被害が発生したことが判明した場合は、お客様の負担とならぬよう関係機関と連携を図りながら対処して参ります。
本件に関するご質問は、下記窓口にお問い合わせ下さい。

【投資家様・株主様からのお問い合わせ先】
管理部
お問い合わせフォーム:https://corp.ebookjapan.jp/contact/ir/
電話: 03-3518-9544

【お客様からのお問い合わせ先】
eBookJapanサポートセンター (月-金の10-18時)
お問い合わせフォーム:http://www.ebookjapan.jp/ebj/support/
電話: 03-3518-9744
(お問い合わせいただく際には、必ず対象のeBookJapan会員メールアドレスをご用意ください)


(2013年4月9日 19時20分 追記)

先日来お知らせしておりますeBookJapanサイトに対する外部からの不正アクセスにつきまして、調査状況の途中経過をご報告申し上げます。

【不正アクセスの概要(改)】

・eBookJapanサイトにおきまして、2013年4月5日(金)午前10時30分頃、サーバーの高負荷が検知されたことから詳しい調査を行ったところ、779アカウントに対して不正の疑われるIPアドレスからログインが行われました。

 −前回ご報告に比べて不正の疑われるIPアドレスが増加し、60アカウントほど増加しております。

 −上記は4月分までの調査結果ですので、今後3月以前分に調査範囲を拡大した際に、さらに増加する可能性があります。

・前回のご報告までは「複数のIPアドレスからログインページに対して機械的に総当たり攻撃等を行う大量アクセス行為(ブルートフォースアタック)」とご説明しておりましたが、詳細調査の結果、「不正の疑われる複数のIPアドレスからログインページに対して、予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」であることが判明いたしました。

 −つまり、大量アクセス行為を仕掛けてきた者は、当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手し、ユーザーがログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログインしようとし、上記件数についてはログインに成功してしまったということです。

 −そのように判断した根拠は、一つのログインID(メールアドレス)について試行するパスワードの数の少なさです。

○ ログイン成立分

IDあたりPW試行回数 該当ID数
1 386
2 347
3 37
4 4
5 5

注) 1つのログインIDについてPWを試行した回数は最大5回までであり、1回しか試行していないのに正当したアカウントが半数近くを占めている。

○ ログイン失敗分

IDあたりPW試行回数 該当ID数
1 1327
2 72
3 20
4 7
5 3
6 1
9 1

注) 1つのログインIDについてPWを試行した回数は最大9回までであり、1回だけで断念しているアカウントが9割を占めている。

 −なお、当社サーバーからログインIDやパスワードが直接漏洩した形跡はございません。

【被害規模について】
・継続して調査中です。

【対応内容】
・従前からの防御内容
 −総当たり攻撃を防ぐためのアカウントロック
同一のログインIDに対して、一定期間内に、一定回数以上パスワードを間違えると、一定期間ロックされます。
これにより、機械的にパスワードを総当たりすることでログインしようとする不正を防ぐことが出来ます。

・今回追加した防御内容
 −同一IPアドレスからのログイン制限
同一のIPアドレスからログインフォームへのアクセスに制限をかけました。
この結果、適法に同一IPアドレスから同時に多くのユーザーがログインしようとする場合にも制限をかけてしまう悪影響が生じる可能性がありますが、当面はセキュリティ確保を優先いたします。
 −マイページ内のワンタッチ銀行引落に登録している方の口座番号の非表示化
 −不正の疑われるIPアドレスをブロック
 −不正の疑われるIPアドレスからログインされたアカウントのパスワード初期化
  −該当のお客様にはパスワード再設定のお願いをメールにて送付

※ 上記の対策により、4月6日以降は不正ログインは発生しておりません。

【今後の対応】
当社といたしましては、このたびの事態を厳粛に受け止め、原因の徹底究明と全社を挙げて再発防止に取り組むとともに、お客様の金銭的被害が発生しないよう関係機関と連携を図りながら対処して参ります。
なお、本件に関し新たな事実が判明した場合、および対応状況の進捗につきましては、随時ご報告申し上げます。
本件に関するお問い合わせにつきましては、下記窓口にて対応させて頂きます。

【本件についてのお問い合わせ先】
eBookJapanサポートセンター
お問い合わせフォーム: http://www.ebookjapan.jp/ebj/support/
電話: 03-6272-9644 (月−金の10-13および14〜18時)
(お問い合わせいただく際には、 必ず対象のeBookJapan会員メールアドレスをご用意ください)


(2013年4月6日 2時30分 追記)

このたび、当社が運営する「eBookJapanサイト(http://www.ebookjapan.jp/ebj/)」(以下、「eBookJapanサイト」といいます。)に対して、外部からの不正アクセスがあったことが判明いたしました。
本件に関しまして、現時点で判明している不正アクセスの概要と対応について、以下のとおりご報告いたしますとともに、お客様をはじめとする皆様に対し、多大なるご迷惑及びご心配をおかけいたしましたこと、深くお詫び申し上げます。

【不正アクセスの概要】
・eBookJapanサイトにおきまして、2013年4月5日(金)午前10時30分頃、サーバの高負荷が検知されたことから詳しい調査を行ったところ、複数のIPアドレスからログインページに対して機械的に総当たり攻撃等を行う大量アクセス行為(ブルートフォースアタック)があり、約720アカウントに対して不正なログインが行われた可能性があることが判明いたしました。
・ユーザーアカウントのログインIDとパスワードを非常に高い確率で正当していることから推測して、当社以外の情報源からログインIDとパスワードを入手した可能性があります。

【被害規模について】

・2013年4月1日から4月5日にかけて、約720アカウントに対し不正なログインが行われた可能性があります。
・うち、会員情報ページ(お客様の「メールアドレス」「パスワード」「氏名」「生年月日」「性別」「住所(都道府県)」などが登録されているページ)にアクセスされたのは、最大549アカウントです。
・また、「ワンタッチクレジット決済」という名称で実施しているクレジットカード決済において、決済代行会社に遷移したのは、最大46アカウントです。なお、決済代行会社の一部ページでは、クレジットカード番号が表示されておりましたが、該当ページまで到達したか否かについては調査中です。
※なお、当社ではクレジットカード情報は保管しておりません。
・また、「ワンタッチ銀行引落」という名称で実施している楽天銀行決済において、口座番号情報の記載されているページが表示されたのは、最大30アカウントです。

【対応内容】
2013年4月5日(金)中に、以下の対応を行いました。

10時45分から17時頃:
大量アクセス行為(ブルートフォースアタック)を仕掛けてきた複数のIPアドレスからのアクセスをブロックする設定を行いました。
16時41分:
同一IPアドレスからログインページへのアクセスが連続した場合に、一定期間アクセスできなくなるようにいたしました。
17時頃から26時頃:
不正ログインされた可能性のある約720のアカウントについて、パスワードの初期化を行いました。対象アカウントをお持ちのお客様に対して、パスワードの再設定をお願いするメールを個別にお送りし、速やかに パスワードを再設定いただくようお願いいたしました。
21時頃:
eBookJapanサイトに「【重要なお知らせ】不正ログイン被害のご報告とパスワード再設定のお願い」ページを掲載し、不正アクセスの概要と対応状況を説明し、パスワード再設定をお願いしました。

【今後の対応】
当社といたしましては、このたびの事態を厳粛に受け止め、原因の徹底究明と全社を挙げて再発防止に取り組むとともに、お客様の金銭的被害が発生しないよう決済代行会社、各クレジットカード会社、および楽天銀行と連携を図りながら対処して参ります。
なお、本件に関し新たな事実が判明した場合、および対応状況の進捗につきましては、随時ご報告申し上げます。

本件に関するお問い合わせにつきましては、下記窓口にて対応させて頂きます。

【本件についてのお問い合わせ先】
eBookJapanサポートセンター
お問い合わせフォーム: http://www.ebookjapan.jp/ebj/support/
電話: 03-6272-9244 (4月6日、7日の特設事務局: 10〜18時)
電話: 03-6272-9644 (4月8日以降、月−金の10-13および14〜18時)
(お問い合わせいただく際には、 必ず対象のeBookJapan会員メールアドレスをご用意ください)


(2013年4月5日 21時00分)

eBookJapanサイトにおきまして、2013年4月5日(金)午前10時30分頃、サーバの高負荷が検知されたことから詳しい調査を行ったところ、複数のIPアドレスからログインページに対して機械的に総当たり攻撃等を行う大量アクセス行為(ブルートフォースアタック)があり、現時点において、約720アカウントに対して不正なログインが行われた可能性があることが判明いたしました。

下記のとおり、詳細についてご報告申し上げます。

【被害規模について】
・約720アカウントに対し、不正ログインされた可能性があり、現在調査しております。
・会員情報ページ(お客様の「メールアドレス」「パスワード」「氏名」「生年月日」「性別」「住所(都道府県)」などが登録されているページ)へのアクセスは現時点では確認されておりません。
・決済利用について現時点では確認されておりません。
決済用パスワード、口座番号やクレジットカード情報ページヘのアクセスについても確認されておりません。

【実施済みの対策】
・大量アクセス行為(ブルートフォースアタック)を仕掛けてきた複数のIPアドレスからのアクセスをブロックする設定を行いました。
・同一IPアドレスからログインページへのアクセスが連続した場合に、一定期間アクセスできなくなるようにいたしました。
・不正ログインされた可能性のある約720のアカウントについて、パスワードの初期化を行いました。

【パスワード再設定のお願い】
不正ログインされた可能性のある約720のアカウントにつきましては、お客様情報の保護を目的といたしまして、パスワードの初期化を実施いたしております。

対象となるお客様には、パスワードの再設定をお願いするメールを個別にお送りしますので、誠にお手数ではございますが、速やかに パスワードを再設定いただきますようお願い申し上げます。
※パスワードは、第三者に類推されにくい文字列に設定し、定期的に変更を行っていただきますようお願いいたします。

【全てのお客様へパスワード再設定のお願い】
不正アクセス防止のために、皆様に強固なパスワードの再設定をお願いいたします。

強固なパスワード例
・アルファベットや数字のみでなく、アルファベット大文字 + アルファベット小文字 + 数字 + 記号 を混ぜたパスワード
・文字数が長いパスワード(8文字以上)
※なお、eBookJapanサイトまたは他のサービスにおいて、現在・過去に利用されているパスワードは避けてください。

パスワードの再設定につきましては、「パスワードの再設定」から変更をお願いします。

【本件についてのお問い合わせ先】
eBookJapanサポートセンター
(お問い合わせいただく際には、 必ず対象のeBookJapan会員メールアドレスをお書き添えください)

(2013年7月23日 更新)
(2013年4月9日 更新)
(2013年4月6日 更新)
(2013年4月5日)