ネットキャッシュの ID 流出

ネットキャッシュの ID 流出

ネットキャッシュとは、NTT カードソリューションが提供するプリペイド式の電子マネーです。

インターネット上で買い物やゲームをする際に、16 桁の ID を入力することにより決済を行うことができます。

2006年 6 月 20 日に、NTT カードソリューションは「ネットキャッシュのサーバーに不正アクセスがあり、ID が流出した。流出した可能性がある ID は 81105 個で、既に 327 万円分が不正使用された」と発表しました。

流出した可能性があるネットキャッシュ ID の内訳は、以下の通りです。

流出した可能性がある ID の内訳
  個数 設定額合計 不正使用額合計
販売前の ID 50419 約 3 億 1000 万円 316 万円
販売済の ID 30686 ? ?
合計 81105 ? ?
販売済の ID の内訳
  個数 設定額合計 不正使用額合計
未使用の ID 2286 約 2000 万円 11 万円
残高なしの ID 24363 ? ?
残高ありの ID 4037 ? ?
合計 30686 ? ?

販売前の ID 50419 個と販売済の未使用の ID 2286 個については、販売停止や利用停止の処置が取られました。

販売済の残高なしの ID 24363 個と残高ありの ID 4037 個については、既に不正使用されたかこれから不正使用される可能性があり、不正使用が確認された場合は、正規の残高の新しい ID と交換することになりました。

販売前の ID 50419 個と販売済の未使用の ID 2286 個には、それぞれ約 3 億 1000 万円と約 2000 万円が設定されており、6 月 19 日時点で 316 万円と 11 万円の不正使用が確認されました。

今回の ID 流出は、6 月 9 日にネットキャッシュのユーザーから問合せがあり、NTT カードソリューションがシステムの不具合の検証とアクセスログの解析を行った結果、6 月 13 日に 5 月末の不正アクセスが発見されました。

その後、ID が不正にダウンロードされていたことが、6 月 16 日までに判明しています。

犯人は、ネットキャッシュの決済画面に存在した脆弱性を突いて、ID を管理するデータベースサーバーまで侵入したようです。

決済画面は NTT カードソリューションが独自システムにより運用していたものでしたが、システムの修正が行われました。

不正アクセスは、中国とアメリカのコンピューターから行われたことまでは分かりましたが、犯人特定には至りませんでした。

電子マネーには、利用者を保護する法律も所管官庁も存在しません。

そのため、毎日新聞 2007 年 3 月 22 日付では、金融庁の高橋 康文企画課調査室長が「倒産する業者が出てきたらどこも補償できない」と述べています。