仮想通貨取引所Coincheckへの不正アクセス、300人の個人情報流出か!
国内の仮想通貨(暗号資産)取引所「Coincheck(コインチェック)」は、同社が利用するドメイン登録サービス「お名前.com 」内のアカウントが、不正にアクセスされ、悪意のある第三者により、ドメイン登録情報が変更された事象について、6月4日に「最終報告」を発表した。 (6月2日に発表された「第一報」はこちら。)
ユーザー約300人の個人情報流出の可能性!
Coincheckが発表した「最終報告」によると、当初の説明ではCoincheckユーザー約200人に影響があると報告されていたが、およそ300人の個人情報が流出した可能性がある事が明らかになった。
不正アクセスの概要
6月1日12時頃、監視業務にて検知された異常を調査したところ、5月31日0時05分頃に「お名前.com」内のCoincheckアカウントが何者かに不正アクセスされたことが発覚した。
悪意のある第三者によってドメイン登録情報が変更され、5月31日~6月1日の期間に送信されたユーザーからCoincheckへのお問合せメールが不正に取得できる状態になってることが判明した。
これにより5月31日~6月1日の期間にお問合せメールをしたユーザー約300人のメールアドレス、名前、登録住所、生年月日、電話番号、IDセルフィーなどを含むメールに記載された情報が流出した可能性があるという。
6月1日20時52分頃ドメイン登録情報の修正が完了しており、ユーザーの資産には影響はないとのこと。
「お名前.com Navi」の脆弱性
調査で明らかになったのは、Coincheckが利用しているGMOインターネットが運営するドメインやレンタルサーバを管理するサービス「お名前.com Navi」の脆弱性だ。
悪意のある第三者が「お名前.com Navi」の通信を改ざんすることができる不具合を利用し、会員情報(メールアドレス)を書き換えたことが判明した。
この不具合により、同じく「お名前.com Navi」を利用する、仮想通貨(暗号資産)取引所「bitbank(ビットバンク)」もCoincheckと同様の不正アクセスの被害にあっているが、この事象による影響はない。
6月2日時点で「お名前.com Navi」の不具合は修正対応済みであり、Coincheckは原因の解明および再発防止策の実施を行い、6月4日19時からサービスを開始している。
また、すでに再発防止策を講じているとしたうえで、これまで利用していたお問合せメールアドレスは利用しないよう呼びかけている。
