ファストブッキングへの不正アクセスについてまとめてみた

2018年6月26日、ファストブッキングは同社のホテル予約システムが不正アクセスを受け、情報が流出したと発表しました。予約サービスは国内ホテルなど多数の宿泊施設(世界90か国、約3500施設)で、主に海外からの利用者を対象に利用されていました。ここでは関連情報をまとめます。

公式発表

インシデントタイムライン

日時出来事
2018年6月15日 4時43分ファストブッキングサーバー不正アクセス。事象(1)による情報流出が発生。
2018年6月17日ファストブッキングサーバー不正アクセス。事象(2)による情報流出が発生。
2018年6月20日 5時2分ファストブッキングモニタリングサービスを通じて不正アクセスを把握。
2018年6月21日ファストブッキングがユーザー(ホテル)に対して不正アクセスの被害を報告。
2018年6月26日ファストブッキング不正アクセスの被害を発表。
同日以降ファストブッキングの予約システムを利用していたホテルより被害発表が相次ぐ。

被害

No発生日対象の宿泊施設数流出した件数流出した内容暗号化の有無
事象(1)2018年6月15日380施設20万5137件顧客氏名、国籍
郵便番号、住所、メールアドレス
予約金額、予約番号、予約ホテル名
チェックイン日、チェックアウト日
無し
事象(2)2018年6月17日189施設12万580件顧客氏名
クレジットカード番号
クレジットカード有効期限
顧客アカウント
有り

原因・発端

被害発表をしている国内ホテル

対象発表日公式発表事象(1)対象施設数事象(1)流出件数事象(2)対象施設数事象(2)流出件数
株式会社プリンスホテル2018年6月26日[PDF] サーバーへの不正アクセスによる、当社外国語 Web サイトにてご予約いただいたお客さまの個人情報の流出に関するお詫びとお知らせ43施設58,003件39施設66,960件
株式会社ニュー・オータニ2018年6月26日[PDF] 不正アクセスの被害についてのお詫びとご報告1施設587件対象無し
アールエヌティーホテルズ株式会社2018年6月26日サーバーへの不正アクセスによる、当社英語Web予約サイトにて ご予約いただいたお客さまの個人情報の流出に関するお詫びとお知らせ
[PDF] サーバーへの不正アクセスによる、リッチモンドホテル英語 Web 予約サイトにてご予約いただいたお客さまの個人情報の流出に関するお詫びとお知らせ(ロイヤルホールディングス株式会社)
31施設3,965件32施設6,366件
株式会社 東京ドームホテル2018年6月26日外国語公式ウェブサイトご利用のお客様の個人情報の漏えいに関するお詫び1施設313件対象無し
藤田観光株式会社2018年6月27日重要なお知らせ:サーバーへの不正アクセスによる、当社外国語予約サイトにおける 個人情報の流出に関するお詫びと今後の対応について
サーバーへの不正アクセスによる、当社外国語(英語・中国語・韓国語)予約サイトにおける個人情報の流出に関するお詫びと今後の対応について(ホテル椿山荘東京)
[PDF] 別紙: サーバーへの不正アクセスによる、個人情報流出の状況一覧
30施設14,567件6施設10,903件
株式会社阪急阪神ホテルズ2018年6月27日[PDF] 個人情報の流出に関するお詫びとお知らせ18施設7,674件対象無し
ホテルモントレ株式会社2018年6月27日お客様情報の流出に関するお知らせとお詫び最大20施設10,066件最大20施設16,520件
株式会社グランビスタホテル&リゾート2018年6月27日[PDF] 外国語公式ウェブサイトより宿泊予約いただいたお客様の個人情報の流出について8施設3,421件対象無し
株式会社イシン・ホテルズ・グループ2018年6月27日[PDF] 個人情報の流出に関するお知らせとお詫び17施設29,956件3施設89件
日本ビューホテル株式会社2018年6月27日個人情報漏洩に関するご報告2施設513件対象無し
ブルーウェーブ株式会社2018年6月27日[PDF] サーバーへの不正アクセスにより、当ホテルのウェブサイトからご予約いただいたお客さまの個人情報流出に関するお詫びとお知らせ1施設124件対象無し
株式会社ブライトンコーポーレーション2018年6月27日[PDF] 外国語公式 Web サイトご利用のお客様情報の流出に関するお詫びとお知らせ3施設818件対象無し
株式会社芝パークホテル2018年6月27日お客様情報流出に関するお詫びとお知らせ
Apology and Announcement Regarding the Customer Information Breach
最大2施設不明最大2施設不明
株式会社ホテルおかだ2018年6月27日[PDF] 外国語ウェブサイトより宿泊予約いただいたお客様の個人情報流出について1施設504件対象無し
株式会社ホテルサイボー2018年6月27日不正アクセスによるお客様情報の流出に関するお詫び1施設14件対象無し
株式会社ホテル小田急サザンタワー2018年6月27日[PDF] 不正アクセスによる個人情報の流出について1施設7,626件1施設13,155件
ブリーズベイオペレーション2号株式会社2018年6月28日[PDF] サーバーへの不正アクセスによる当ホテル外国語Web予約サイトにてご予約いただいたお客さまの個人情報流出に関するお詫びとお知らせ
不正アクセスに関するお詫びとお知らせ(株式会社ロイヤルホテル)
1施設18件対象無し
グランホテルオペレーション株式会社2018年6月28日[PDF] サーバーへの不正アクセスによる当ホテル外国語Web予約サイトにてご予約いただいたお客さまの個人情報流出に関するお詫びとお知らせ
不正アクセスに関するお詫びとお知らせ(株式会社ロイヤルホテル)
1施設198件対象無し
株式会社トラベリエンス2018年6月28日サーバーへの不正アクセスによるご予約者様の個人情報流出に関するお詫びとお知らせ1施設296件対象無し
京阪ホテルズ&リゾーツ株式会社2018年6月28日
2018年7月3日修正報
[PDF] サーバーへの不正アクセスによる、当社外国語 Web 予約サイトにてご予約いただいたお客様の個人情報流出に関するお詫びとお知らせ4施設1,707件対象無し
ソラーレ ホテルズ アンド リゾーツ株式会社2018年6月28日[PDF] サーバーへの不正アクセスによる外国語予約サービスシステムからの個人情報流出に関するお詫びとお知らせ12施設1,816件対象無し
株式会社東急ホテルズ2018年6月28日[PDF] サーバーへの不正アクセスによる個人情報の流出に関するお詫びとお知らせ
サーバーへの不正アクセスによる個人情報の流出に関するお詫びとお知らせ(株式会社セルリアンタワー東急ホテル)
28施設1,448件19施設3,225件
株式会社マイステイズ・ホテル・マネジメント2018年6月29日お客様情報の漏洩に関するお知らせとお詫び不明39,649件不明27,103件
株式会社ホテルマネージメントジャパン2018年6月29日重要なお知らせ:サーバーへの不正アクセスによる、外国語予約ウェブサイトにてご予約いただいたお客さまの個人情報流出に関するお詫びとお知らせ

オリエンタルホテル 東京ベイのお知らせ
なんばオリエンタルホテルのお知らせ
ホテルオリエンタルエクスプレス大阪心斎橋のお知らせ
神戸メリケンパークオリエンタルホテルのお知らせ
4施設951件対象無し
株式会社相鉄ホテルマネジメント2018年6月29日[PDF] 相鉄フレッサイン英語公式サイトにおける不正アクセスの被害についてのお詫びとお知らせ2施設41件対象無し
株式会社コスモスホテルマネジメント2018年6月29日[PDF] 不正アクセスによる個人情報の流出に関するお知らせとお詫び記載なし対象無し
S.H.ホールディングス株式会社2018年6月29日【お客様情報流出に関するお詫びとお知らせ】1施設対象無し
加森観光株式会社2018年6月30日[PDF] ルスツリゾート外国語 公式 WEB サイトからご予約いただいたお客様の個人情報の流出に関するお知らせ1施設1,774件対象無し

対象施設名

影響を受けたとして名前が公表されたホテル名は以下の通り。

株式会社ニュー・オータニ(1施設)
株式会社 東京ドームホテル(1施設)
アールエヌティーホテルズ株式会社(34施設)

株式会社東急ホテルズ株式会社セルリアンタワー東急ホテル(公表分1施設)
藤田観光株式会社 (30施設)
株式会社阪急阪神ホテルズ(18施設)
ホテルモントレ株式会社(20施設)
株式会社グランビスタホテル&リゾート(8施設)
株式会社イシン・ホテルズ・グループ(17施設)
日本ビューホテル株式会社(2施設)
ブルーウェーブ株式会社(1施設)
株式会社ブライトンコーポーレーション(3施設)
株式会社芝パークホテル(2施設)
株式会社ホテルおかだ(1施設)
株式会社ホテルサイボー(1施設)
株式会社ホテル小田急サザンタワー(1施設)
ブリーズベイオペレーション2号株式会社(1施設)
グランホテルオペレーション株式会社(1施設)
株式会社トラベリエンス(1施設)
ソラーレ ホテルズ アンド リゾーツ株式会社(12施設)
京阪ホテルズ&リゾーツ株式会社(4施設)
株式会社ホテルマネージメントジャパン(4施設)
株式会社相鉄ホテルマネジメント(2施設)
S.H.ホールディングス株式会社(1施設)
加森観光株式会社(1施設)

クレジットカード会社の発表

ホテルからの連絡

プリンスホテル

更新履歴

*1ホテル予約のファストブッキング、サーバーに仕掛けられたバックドアから情報漏洩,日経xTech,2018年6月28日

仮想通貨マイニングツール事案をまとめてみた

2018年6月14日、警察庁仮想通貨マイニングするツール(Coinhive等)を利用者に無断で設置していたとして、16人を逮捕・書類送検したと発表しました。ここでは関連情報をまとめます。

仮想通貨マイニングツール設置を対象とした国内初の事案

事案概要
捜査を担当した警察本部

当該事案により報じられた被害状況

逮捕・送検事案の一覧

2018年6月に逮捕・書類送検が具体的に報じられていたた事案は以下です。

No警察の対応担当対象容疑認否
1逮捕5県警合同捜査本部神奈川県平塚市 男性31歳 ウェブサイト運営業不正指令電磁的記録保管・同供用一部否認
2逮捕5県警合同捜査本部三重県いなべ市 男性37歳 会社役員不正指令電磁的記録保管・同供用一部否認
3逮捕宮城県警察兵庫県尼崎市 男性24歳 無職不正指令電磁的記録作成・同供用一部否認(7/2 仙台地裁有罪判決
4書類送検宮城県警察東京都新宿区 男性24歳 IT会社役員不正指令電磁的記録保管容疑を認めている
5書類送検愛知県警察京都府京都市北区 男性23歳 アダルトサイト運営社長不正指令電磁的記録保管容疑を認めている
6書類送検神奈川県警察男性30歳 ウェブデザイナー不正指令電磁的記録作成・同供用否認(正式裁判へ移行)
7書類送検千葉県警察神奈川県川崎市 男性30歳 会社員不正指令電磁的記録作成・同供用容疑を認めている
8書類送検滋賀県警察東京都三鷹市 男性24歳 大学生不正指令電磁的記録保管容疑を認めている
9書類送検埼玉県警察茨城県守谷市 男性43歳 無職不正指令電磁的記録保管など不明
10書類送検埼玉県警察広島県広島市 男性48歳 会社員不正指令電磁的記録保管など不明
11書類送検福岡県警察和歌山県和歌山市 男性40歳 インタ―ネット関連会社社長不正指令電磁的記録供用など不明
12書類送検不明男性18歳不明不明
13書類送検不明男性20代不明不明
14書類送検不明男性20代不明不明
15書類送検不明男性20代不明不明
16書類送検不明男性40代不明不明
17書類送検栃木県警察不明不明不明

摘発されたサイトの設置や収益の状況

対象事案マイニングツール設置先設置期間得た収益負荷設定
京都市北区男性23歳の事案アダルトサイト2017年9月〜2018年3月約900円(0.05XMR、当時レート) *9不明
神奈川県平塚市男性31歳
または三重県いなべ市男性37歳
web制作ナビ2017年10月中旬〜2018年2月上旬約120,000円?
収益は全額WFPへ寄付。
CPU使用率30%程度
神奈川県平塚市男性31歳
または三重県いなべ市男性37歳
やさしい確定申告 *102017年10月中旬〜2018年2月上旬約50,000円?不明
男性30歳doocts2017年9月下旬〜2017年11月上旬(約1か月超)約900円使用感を阻害しない、不自然にCPUが回らない設定
神奈川県川崎市男性30歳アイドル関連サイト不明不明不明
東京都三鷹市男性24歳運営サイト不明数百円不明
和歌山県和歌山市男性40歳運営サイト2017年12月〜2018年4月不明不明
東京都新宿区男性24歳アダルトサイト2017年9月〜2018年2月数円から約200円不明
兵庫県尼崎市男性24歳オンラインゲーム支援を偽装したプログラム*112017年9月〜2018年2月数円から約200円不明

ウェブデザイナー男性の事案 正式裁判の動き

当該事案に関連する動き

警察による摘発対象の判断

警察庁の注意喚起

自身が運営するウェブサイトに設置する場合であっても、マイニングツールを設置していることを閲覧者に対して明示せずにマイニングツールを設置した場合、犯罪になる可能性があります。

各県警察もその後注意喚起を公開している。

注意喚起内容、及び事案化された情報から摘発対象の条件を整理すると次の通り。

マイニングツール設置者自分が意図的に設置していた場合も対象
利用者への通知ツール設置に係る明示*15が行われていない
マイニングツールの負荷程度によらず何らかの負荷が発生する
収益の有無金額によらない(数円程度でも対象)
報道等で取り上げられている警察側のコメント
今回の事案に対するブログ・コメント等

その他関連情報

福岡県警察の事案関連とみられるツイート
Coinhive/Cryptojackingを取り上げた調査・検証記事等
収益等に関する参考情報
記事ツール設置期間収益
【謝罪】皆様が利用している間に、コインマイニングしていた話【Coinhive】不明(1時間?)0.00015 XMR
コインハイブ採掘「悪いことなの?」 サイト運営者語る約2か月半1万円相当のモネ
仮想通貨を採掘させるCoinhiveで逮捕・書類送検された人たちについてまとめた2017年12月〜2018年6月0.01239 XMR (2018/6/16時点)

更新履歴

*1他人PCで仮想通貨「採掘」=サイト閲覧者に無断で−16人を初摘発・警察当局,時事通信,2018年6月14日

*2違法マイニングで16人摘発 10県警、仮想通貨獲得巡り,共同通信,2018年6月14日

*3アイドル関連HPにウイルス 無断で仮想通貨を採掘 30歳男性を書類送検 千葉県警,産経ニュース,2018年6月14日

*4他人のPCを遠隔操作し仮想通貨,NHK,2018年6月14日

*5<仮想通貨>監視プログラム「マイニング」悪用 3人逮捕、1人書類送検 宮城県警、全国初,河北新報,2018年6月15日

*6仮想通貨発掘 県警、さらに1人捜査 「コインハイブ」設置事件で /栃木,毎日新聞,2018年6月15日

*7:注意喚起を出しているところを見ると新潟県警察とみられる

*8読売新聞,2018年6月15日朝刊

*9他人のPC仮想通貨獲得に利用か,NHK,2018年6月15日

*10https://urlquery.net/report/5fa27210-d635-44c0-bcb9-2ac2783bba78

*11他人のPCを遠隔操作し仮想通貨,NHK,2018年6月14日

*12仮想通貨 他人PCで採掘,朝日新聞,2018年6月15日朝刊

*13マイニング悪用の被告に有罪判決 仙台地裁・全国初,河北新報,2018年7月2日

*14仮想通貨「マイニング」PC無断使用 国内初の立件,毎日新聞,2018年6月14日

*15ウェブデザイナー男性の事案ではCoinhive設置同日に検証主旨の記事を公開していたとされ、明示手段の詳細は不明。

*16https://twitter.com/Khrome00/status/1007829339990179840

*17https://twitter.com/Khrome00/status/1007020186958901248

*18https://twitter.com/Khrome00/status/1007737861821460481

*19https://twitter.com/Khrome00/status/1007837967186948096

2018年2月のデータリークに関連する国内サイトの被害についてまとめてみた

2018年2月にインターネット上でメールアドレスなどを含む大量の情報が公開されていると報じられました。

リークされた情報には日本国内も含まれていたとみられ、その後この件との関連が疑われる発表が複数のWebサイトで行われています。ここでは関連する情報をまとめます。

約3,000のデータベースリーク

取り上げられたリークの概要は以下の通り。

Troy Hunt氏の分析

Troy Hunt: I’ve Just Added 2,844 New Data Breaches With 80M Records To Have I Been Pwned

Troy Hunt氏がそのデータを分析したところ、

メールアドレス80,11,532件
ファイル2,844個

これらのデータはどこにリークされていたのか

f:id:Kango:20180608114357p:image:w450 f:id:Kango:20180609101121p:image:w450

このリークを取り上げる国内の動き

2社がこの情報に関連する動きを見せており、それに合わせて報道が出ている。

KELA
ソリトンシステムズ

関連タイムライン

関連する動きをまとめると以下の通り。

日時出来事
2018年2月19日ハッキングフォーラム上でこの件に関連する投稿が行われてた。(Troy Hunt氏確認による)
2018年2月22日がん治療認定医の所属先から日本がん治療認定医機構へ情報流出の情報提供。
2018年2月23日Haeked-DBのリークデータ発見を報じるHackReadの記事が公開された。
2018年2月26日Troy Hunt氏がこの件を取り上げた分析記事を公開した。
2018年2月28日兵庫県警察が尼崎市へ情報流出の可能性があると情報提供。
2018年2月28日兵庫県警察が宝塚山本ガーデンクリエイティブ株式会社へ情報流出の可能性があると情報提供。
2018年3月9日尼崎市不正アクセス被害を発表。
2018年3月22日日本がん治療認定医機構が登録情報の流出を発表。
2018年3月23日兵庫県警察が宝塚山本ガーデンクリエイティブ株式会社へ情報流出の可能性があると情報提供。
2018年4月2日冨美家が京都県警から情報提供を受け会員情報の流出を把握。
2018年4月3日国内で中央省庁職員アドレス流出の報道。NISCが各省庁に対して注意喚起。
2018年4月6日日経xTechが三菱地所・サイモンへ情報流出の可能性があると情報提供。
2018年4月14日三菱地所・サイモンが会員情報の流出を発表。
2018年4月27日宝塚市、宝塚山本ガーデンクリエイティブ株式会社不正アクセス被害を発表。
2018年5月8日ソリトンシステムズがこの件を含む大量のデータを確認したと発表。
ビープラッツ株式会社が情報流出の被害を把握。
2018年5月10日ビープラッツ株式会社不正アクセス被害を発表。
2018年6月18日二見書房が不正アクセス被害を発表。
2018年6月19日ジャパンレンタカーが不正アクセス被害を発表。

関連が疑われる国内事例

Troy hunt氏が公開したPastebin上で、.jp/.jp.comのドメインが含まれるファイル名は全部で84件存在する。

また2018年6月8日現在、以下の5つのサイト*2において、情報漏洩の被害が発表されている。

以下は各事案の個別まとめです。(後日詳細を追加します。)

尼崎市2018年3月9日発表)

被害を受けたWebサイト健診すずめ通信(閉鎖中)

日本がん治療認定医機構(2018年3月22日発表)

被害を受けたWebサイト変更届システム(閉鎖中)

冨美家(2018年4月5日発表)

被害を受けたWebサイト冨美家オンラインショップ

三菱地所・サイモン(2018年4月14日発表)

被害を受けたWebサイトプレミアム・アウトレット ショッパークラブ(臨時サイト)

宝塚山本ガーデン・クリエイティブ株式会社2018年4月27日発表)

被害を受けたWebサイトあいあいパーク

ビープラッツ株式会社2018年5月10日発表)

被害を受けたWebサイト:licensestore.jp(過去に運営されていたサイト)

二見書房(2018年6月18日発表)

被害を受けたWebサイトシャレード文庫

ジャパンレンタカー(2018年6月19日発表)

被害を受けたWebサイトジャパンレンタカーWebサイト

更新履歴

*1中央省庁の職員2千人分の公用メアド流出 ネットで売買,朝日新聞,2018年4月3日報道

*2:ビープラッツはPastebinで確認できなかった

Kango
Kango

piyokangoの日記。備忘録。