サイバーエージェント(東京都渋谷区)が運営するポイント交換サービス「dotmaney」と「dotgift」が、不正アクセスを受け、6月8日から全機能を停止している。復旧には停止開始から約1カ月かかる見込みだ。同社は6月17日、公式ブログで続報を公開し、交換手続きの途中だったポイントは消失しないと説明した。
サービス一時停止の概要
dotmaneyは、ポイントサイトやスマートフォンゲームなどでためたポイントを集約し、現金やギフト券、マイルなどへ広く交換できるサービス。あわせて停止しているdotgiftは、企業がキャンペーンの特典などとして配るデジタルギフトで、受け取ったユーザーはdotmaneyや各種商品と交換できる。
同社は6月8日に「システム障害による緊急メンテナンス」としてサービスを停止し、11日に不正アクセスの発生とおわびを公表。17日の続報では、顧客への対応方針を説明しており、サービス停止期間中に有効期限を迎えるdotmaneyやdotgiftコードについては再付与を行うとしている。
被害状況と影響
なお、侵入の経路や規模、個人情報の流出有無については明らかにしていないが、保有ポイントの不正利用の被害は出ていないとしている。
今回のサービス停止による影響は、連携企業の告知から確認できる。ポイントサイトのワラウとモッピーは、dotmaneyへのポイント交換を一時停止したと告知した。サイバーエージェント自身のアフィリエイトサービス「Ameba Pick」も、dotmaneyを経由する報酬付与に影響が出ているとして案内している。
同社は「お客様の情報・保有マネー等の安全確保を最優先に、原因究明および安全な環境でのサービス再開に向けた対応を進めております」とし、新たに分かった事項は公式ブログで随時知らせるとしている。
関連する不正アクセス事例
近年、企業を狙った不正アクセスが相次いでいる。例えば、某大学病院ではランサムウェア被害で患者43人の手術動画・氏名が流出したおそれがあると発表。また、複数の企業で「不審なログイン画面」が表示される事案が発生し、外部サービス「polyfill.io」が原因とみられている。さらに、イオン銀行では不正アクセスを受けたテスト環境が本来廃止すべきだったのに、AIを使ったシステム高度化作業などに転用されていたと判明。CAMPFIREでは従業員がGitHub認証情報を個人開発サーバーに誤アップロードし、第三者に悪用された。女性向け転職サイト「女の転職type」では、リスト型攻撃により最大1万8253人分の会員情報が閲覧されたおそれがある。
