3月2日(木)、EA-BANKが運営するWEBサイト「ea-bank.com」におきまして、日本国外IPアドレスからの不正攻撃を受けました。EA-BANKといたしまして事態の悪化を可及的速やかに避けるため、緊急対応といたしまして当該WEBサイトを一時非公開とさせていただいておりました。
トラブル発生直後より、実態究明と復旧作業に加え、第三者機関協力のもとセキュリティ強化を実施し、3月16日に、ea-bank.comをあらためて公開させていただく運びとなりました。
日頃よりEA-BANKをご利用いただいている皆様には、当該トラブルによって、多大なるご迷惑とご不安をおかけいたしましたことを心よりお詫び申し上げます。
また、復旧までにお時間いただきましたことにつきましても、併せてお詫び申し上げます。
本件に関しまして、ご不明点などがございましたら、下記窓口までお問い合わせくださいますようお願い申し上げます。
被害箇所及び不正アクセス発覚の経緯
3月2日(木)、ea-bank.comに関連するデータベースに不正な書き換えが存在することが発覚し、調査を進めたところ、スタッフ1名のログイン情報が悪用された形跡が確認されました。
なお、EA稼働許認可等の別システムにつきましては被害の発生はございません。攻撃対象及び被害無し範囲の区別につきまして以下の通りご報告申し上げます。
【攻撃を受けた箇所(ea-bank.com)】
・EA-BANKサイト
・EAの出品管理システム
・フォワード成績グラフの表示(表示のみ)
【別システムのため被害無し】
・会員マイページ(ea-bank.jp)システム
・メール配信システム
・EA出品者様への報酬振込システム
・EA稼働許認可のためのサーバー
・EAフォワード計測のためのサーバー
個人情報流出の可能性につきまして
今回の攻撃による個人情報流出の痕跡は確認されておりませんが、被害に遭ったea-bank.comのシステム内部にはEA出品管理システムが含まれているため、EA出品者会員様の個人情報(メールアドレスとパスワード)が流出した可能性を否定できない状況となりました。
情報流出の可能性があるEA出品会員様には、EA-BANKより別途ご連絡済の状況となっております。
この度は、このような事態になり誠に申し訳ございませんでした。個人情報流出の可能性がある出品者様には別途、改めてご連絡させていただきます。深くお詫び申し上げます。
なお、一般会員様、及び、パートナー会員様(アフィリエイト会員様)につきましては、一切の個人情報流出が発生していない事をここにご報告申し上げます。
再発防止対策のご報告
この度の事態を受け、EA-BANKとして以下の対応を行いました。
全スタッフのパスワード変更
EA-BANKに在籍する全てのスタッフのパスワードをハッキングが難しい強固なパスワードに変更いたしました。
各システムのパスワード変更
今回の被害箇所に関連のないシステム等につきましても、全システムのパスワードをハッキングが難しい強固なパスワードに変更し、二段階認証等を導入いたしました。
不正アクセスが難しいログインURLに変更
不正アクセスの原因となったログイン画面のURLを一般的な文字列から変更し、不正アクセスが難しいURLに変更いたしました。
ログイン画面におけるセキュリティ強化
不正アクセスの原因となったログイン画面のURLにreCAPTCHAセキュリティを導入し、また、画像認証を導入しました。
脆弱性が疑われるシステムの利用廃止
ea-bank.com内で利用している全システムの調査を行い、脆弱性が疑われるシステムの利用を廃止しました。
会員マイページへの個人情報の表示廃止
今回の被害箇所に関連ない部分となりますが、会員マイページ(ea-bank.jp)への以下情報の記載を廃止いたしました。
掲載を廃止した会員様個人情報・・・住所、氏名、電話番号、銀行口座情報
個人情報の掲載を廃止した事により、万が一、会員様マイページに不正アクセスが実行されても、EA-BANKに登録いただいております上記情報は流出いたしません。
上記はこの度実行したセキュリティ強化の一部でございます。内部システムに関わるため上記以外の実施済セキュリティ対策につきましては、そのご報告を割愛させていただきます。引き続き堅牢なセキュリティの構築に努めてまいります。
サービスの復旧状況
以下2つの機能を除きEA-BANKのサービスが復旧している状況でございます。
・フォワードグラフの随時更新 → 3月17日に復旧しました。
・EA出品システム
フォワードグラフの随時更新につきまして、3月17日に復旧しました。EAのフォワード計測はEA-BANK運営にて引き続き行われておりますが、ea-bank.com上へのグラフ描画機能は現在復旧作業中となります。フォワードグラフの随時更新は近日中に復旧予定です。
EA出品システムにつきましては、新規出品の受付を停止した状態にて引き続きセキュリティ向上の対策を継続しております。そのため、「EAの新規出品」は現時点で受付停止させていただいております。
恐れ入りますが暫くお待ち下さいますよう宜しくお願い申し上げます。
FAQ:被害の詳細等につきまして
個人情報の流出は発生したのか
一般会員様とパートナー会員様(アフィリエイト会員様)の個人情報流出はございません。
なお、個人情報が流出した痕跡は確認されておりませんが、EA出品者様につきましては、下記情報の流出の可能性を否定できない状況となりました。
・EA出品者様のメールアドレス
・EA出品者様のEA出品画面へのログインパスワード
なぜ、EA出品者の個人情報のみなのか
今回、攻撃に遭ったea-bank.comの内部にはEA出品管理システムが含まれており、EA出品者様のメールアドレスとパスワードがea-bank.com内部に格納されているためです。一般会員様、及び、パートナー会員様(アフィリエイト会員様)の個人情報はea-bank.comに一切登録されておりません。
どのような攻撃だったのですか?
ea-bank.comに対し不正ログインを試みる動きがあり、スタッフ1名のログイン情報が悪用され、不正アクセスを許す結果となりました。
攻撃の目的は何だと考えられますか?
EA-BANKのサービスダウンを狙ったものだと推察されます。個人情報取得を目的とした攻撃の痕跡は確認されず、サイトを書き換えようとした攻撃内容が見受けられました。攻撃目的はサイト書き換えと見られますが、不正アクセスを許した状況故に個人情報流出の可能性を否定しきれない状況となりました。
再発防止対策は?
こちらにてご報告申し上げます。
内部システムに関わるため上記以外の実施済セキュリティ対策につきましては、そのご報告を割愛させていただきます。引き続き堅牢なセキュリティの構築に努めてまいります。
念のためパスワードを変更したいのですが…
お手数をおかけいたしますが以下よりお願い申し上げます。
■ ea-bank.comのパスワード変更方法につきましては、EA出品者様にメールにてご連絡いたします。
EAの稼働認証が一時的に止まっていたようですが、今回の攻撃との関連は?
EAの認証システムは別サーバーのため、今回の攻撃とは一切関係がございません。
EA認証システムのダウンについて誠に申し訳ございません。今後、サーバー監視体制を強化してまいります。
マイページに住所氏名を登録できますが、それは関係ないのですか?
マイページのea-bank.jpは今回の攻撃対象になっておりません。
ただし、ea-bank.comにて、出品会員様のメールアドレスとパスワードが流出した可能性は否定できず、その情報を使ってマイページ(ea-bank.jp)へ不正アクセスが可能な状況でした。そのため、マイページ上における会員情報の表示は廃止いたしました。
住所、氏名、電話番号、銀行口座情報等の個人情報はマイページに保持されませんので、万が一、不正アクセスされてもこれらの情報が抜き取られる可能性はございません。
なお、攻撃発生日である3/2から会員情報非公開化の3/8までの期間において、マイページ(ea-bank.jp)への不正アクセス等の痕跡はいっさい確認されておりません。
マイページ(ea-bank.jp)につきまして被害無しだった事をご報告申し上げます。
出品会員のメールアドレス等が流出した恐れがあるとして、EA-BANKとしてどのように考えていますか?
この度は誠に申し訳ございませんでした。
個人情報流出の可能性を否定することができない状況となったEA出品会員様への対応としましては、EA-BANKより個別にご案内させていただきます。
今後につきまして
継続的に万全な対策を講じながらサービスを続けていく所存でございます。セキュリティを向上させることでユーザビリティが低下する場合も出てくるかと存じますが、何卒ご理解のほど宜しくお願い申し上げます。
本件に関しまして、ご不明点などがございましたら、下記窓口までお問い合わせくださいますようお願い申し上げます。