Internet Watch logo
記事検索
最新ニュース

「ネットキャッシュID」81,105個が流出、未使用分だけで3億円以上に相当

決済画面の脆弱性を突いてデータベースに不正アクセス

ネットキャッシュのサイトでも「お詫びとお知らせ」を掲載。問い合せ先や問い合せ方法などを説明している
 NTTカードソリューションは20日、同社が提供する電子マネーサービス「ネットキャッシュ(NET CASH)」のサーバーに不正アクセスがあり、ネットキャッシュのIDが流出したと発表した。流出した可能性があるIDは81,105個に上り、すでに327万円分がインターネット上で不正に利用されたことがわかっている。

 ネットキャッシュとは、16桁のID(ネットキャッシュID)を使ってオンラインショッピングなどで決済できるプリペイド式の電子マネー。現在、ゲームや音楽配信、ショッピング、グラビアなど約600サイトで対応しているという。

 81,105個の内訳は、ユーザーに販売する前のIDが50,419個、販売済みのIDが30,686個。販売前の50,419個については販売停止および利用停止処置をとったほか、販売済みのIDのうちユーザーがまだ使用していなかった2,286個についても、被害の未然防止のために利用停止処置をとり、新しいIDに交換する。

 一方、販売済みのIDのうち、利用残高のない24,363個と、まだ残高のある4,037個については、すでに一部で不正に利用されたか、今後不正に利用される可能性がある。不正利用が確認された場合は、正規の残高の新しいIDに交換するとしている。

 なお、販売前の50,419個はすでに金額が設定された状態でサーバーに保存されていたもので、電子マネーとしての総額は約3億1,000万円に上る。また、販売済みで未使用の2,286個は、総額が約2,000万円になる。6月19日現在、販売前のIDで316万円、販売済みのIDで11万円、合計327万円の不正使用被害が確認されている。

 今回の流出は、6月9日にユーザーから「購入したネットキャッシュが利用できない」との申告があったことで発覚した。NTTカードソリューションがシステムの不具合の検証とアクセスログの解析を行なった結果、脆弱性を突いた外部からの不正アクセスが5月末にあったことが6月13日に判明した。さらにログの詳細を確認し、ネットキャッシュIDが不正にダウンロードされていたことを6月16日までに特定した。

 NTTカードソリューションによると、今回の不正アクセスでは、ネットキャッシュの決済画面に存在した脆弱性を突き、IDを管理していたデータベースサーバーにまで侵入して来たという。決済画面は同社が独自システムにより運用していたものだが、今回の不正アクセスにより脆弱性が存在していたことが発覚したとしており、システム修正を行なった。なお、不正アクセス後にログを消去したり、アラートが出る状況を回避するなど、発見されないようにする手口も確認されているとしている。

 NTTカードソリューションではユーザーに対して謝罪するとともに、今回の不正利用によって、正規に購入したネットキャッシュの残高が減っていたり、決済画面で入力エラーが出る可能性があるとして、心当たりがあるユーザーは同社に連絡するよう呼びかけている。個別に購入履歴などを確認し、新しいネットキャッシュIDと交換するとしている。


関連情報

URL
  ニュースリリース
  http://www.ntt-card.co.jp/news/details/39.html
  お詫びとお知らせ
  http://net-cash.jp/news/20060619_systemerror.html

関連記事
NTTカードソリューション、電子マネーの名称を「NET CASH」に変更(2004/11/29)


( 永沢 茂 )
2006/06/20 21:14

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.