メルカリ関連の記事はコチラ

DLmarketが不正アクセスでサービス終了へ「復旧しても金になんねェンだわ」

DLmarket「不正アクセスされたけど対策不能だしサービス終了するわwww」

DLmarketブロガーのヒラノ(HiranoLAZY )です。

インターネットデジタルコンテンツ販売サイトの『DLmarket』が不正アクセス被害を受けて、2019年6月28日をもってサービスを終了して閉鎖することを発表しました。

最近では、デジタルコンテンツ販売というサービス自体が落ち目だっただけに「これも時代の流れか…」と少し寂しくもありますね。ハッキングされての終了ですから時代の流れとは少し違う気もしますが。

というわけで今回は、DLmarketが受けた不正アクセス被害の詳細とサービス開始から終了までを見ていきましょう(泣)

DLmarketとは?

2006年11月、株式会社ブイソル(現 シーズネット株式会社)により設立し誕生。

インターネット上でデジタルデータコンテンツを販売することができるという当時としては画期的なシステムで人気を博す。

販売されているコンテンツは『電子書籍』『楽譜』『写真素材』『イラスト素材』『WEBテンプレート』『教材』など多種多様なものがあり、定期購入や海外販売など豊富な販売支援機能にも力を入れていました。

販売の仕組みはとしては、『デジタルコンテンツの制作者(出品者)が商品を登録』→『購入者が商品を購入すると販売手数料が引かれた報酬が制作者に入る』という仕組みです。

最近ではAmazonPay、楽天Pay、LINE Payなど無駄に多い決済方法などで話題になっていましたね。まさかセキュリティはガバガバだったとは…

その後はすくすくと育ち2012年2月にはダウンロード会員数20万に突破。2015年にはシーズネット株式会社がディー・エル・マーケット株式会社を設立。DLmarketの運営がディー・エル・マーケット株式会社に移ります。

講談社コミックの配信なども手がけ順調な成長を続けていましたが悲劇が襲います…

2018年10月17日:DLmarketのサーバーに外部からの不正アクセスを検知

被害にあったのはDLmarketのサーバのひとつで、主に会員情報などを管理する場所にあたります。

被害に気づいたきっかけは”サーバの不具合”だったそうで、調査の結果 会員情報の一部が流出していることが判明し会員にメールで告知。

このときの一斉送信されたメールには、DLmarketの会員ではない全く無関係の人にもメールを送信していたそうです。

引用:https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12149833862?__ysp=ZGxtYXJrZXQ%3D

不正アクセスを受けてしまうほどの管理状態だっただけに本当に会員ではない人にも送っているのでは?と勘ぐってしまいますね。

この後にも詳しく書いていきますが、DLmarketが受けた不正アクセス被害は、正規の決済ページを偽の決済ページにすり替えるフィッシング詐欺というやつです。

情報流出の原因

クレジットカード決済ページについて、お客様が商品を購入する際に、本来遷移するはずのクレジット決済代行会社のページではなく、「偽の決済フォーム」に誘導するように弊社サーバが改ざんされたことが発覚しました。

これによって「偽の決済フォーム」に入力されたカード情報が不正に取得された可能性があります。

なお、「偽の決済フォーム」を経由する場合、正常な決済は行われず、お客様にはエラーの通知がなされる仕様となっておりました。

今回のDLmarketの場合だと、入り口となるのは正規のホームページだっただけにユーザーも不審に思わないですし、精巧に作られているため そもそも気付かないでしょう。

不正アクセスの時系列

・2018年10月17日
弊社サーバの不具合を受け、弊社で調査を行った結果、管理画面への不正アクセスによって本件サービスに保管している情報の一部(メールアドレス/氏名/会員ID)が流出している可能性を認識。

・2018年10月22日
不正アクセスによって、個人情報の一部(メールアドレス/氏名/会員ID)が流出した可能性あるお客様に対してメールでの告知開始。
※この時点ではカード情報流出の事実は認められませんでした。

・2018年10月23日
不正アクセスの原因究明のため、外部のセキュリティ専門の調査機関へ、本件に関する情報調査および今後の対応について相談を開始。

・2018年11月12日
法人向け決済サービスのクレジット決済代行会社より、弊社サーバを原因としたカード情報流出の懸念があるとの指摘を受け、カード決済およびサイトを停止。

・2018年11月16日
不正アクセスによって流出したお客様情報の特定や詳細な原因の究明などについて、クレジットカード情報のセキュリティ専門機関に依頼し、調査を開始。

・2018年12月6日
外部のセキュリティ専門の調査機関より最終報告書を受領。

・2018年12月7日
クレジットカード情報のセキュリティ専門機関より最終報告書を受領。流出の規模を確定させ、クレジットカード会社へ報告。以降、個人情報保護委員会へ逐次報告するとともにお客様へのご案内と事情説明の体制を整備開始。

・2018年12月25日
本件サービスにて、調査報告に基づいた内容・再発防止策について公表。対象となるお客様に対してメールでの告知開始。

当初、カード決済会社より「クレジットカード情報が流出している」という可能性が伝えられていたDLmarketでしたが、「クレジットカード情報は、流出可能性のある情報に含まれておりません。」と完全に否定。

しかしその後、外部調査機関のフォレンジック調査により流出の可能性が発見されました。
※フォレンジック調査とは法的証拠を見つけるための鑑識調査や情報解析に伴う技術や手順のことを指し示します

サービス終了の決めてとなったのもクレジットカード情報の流出でしょうね。

最終的に流出した可能性のある情報まとめ

  • 561,625人分のダウンロード会員情報(メールアドレス/氏名/会員ID)
  • 決済が成立し、流出の可能性があると判断されたクレジットカード番号の最大件数:7,741件
  • 決済は成立していないが、「偽の決済フォーム」のみに誘導された可能性のある最大件数:903件

※流出したクレジットカード情報は『クレジットカード番号』『名義』『セキュリティーコード(3桁もしくは4桁の確認番号』『有効期限』

DLmarketさん、不正アクセスを認めるも対策不能のためサービス終了

今回の不正アクセスを受け、2018年11月12日よりサービスを停止してシステムの調査とセキュリティの強化を検討していたDLmarketでしたが、対策を行うにはシステムの抜本的な作り直しが必要であることが判明しサービス継続は不可能と判断しました。

不正アクセスのセキュリティ強化をしてシステムを作り直すとすれば数千万円単位のコストが必要になります。復旧に尽力するよりも事業を撤退させたほうがマシという判断だったのでしょう。

しかし、ユーザーのなかにはDLmarketをメインに毎月数十万円を稼いでいる人もおり阿鼻叫喚の声があがっているようです。

まとめ

というわけで、今回はDLmarketのサービス終了に関するニュースを見ていきました。

インターネットデジタルコンテンツ販売という低迷しつつあるサービスのなかでも古参で有名だったDLmarketのサービス終了は衝撃的でしたね。

ディー・エル・マーケット株式会社の親会社は大手情報サイト『All About』などを運営する株式会社オールアバウトということもあり、「閉鎖はないだろうな」と安心していた人も多いんじゃないでしょうか。

オールアバウト社は2019年3月25日に『連結子会社の事業撤退及び特別損失の計上に関するお知らせ』で「DLmarketサービス終了での連結業績に与える影響は軽微」と発表も市場の声は冷ややかなようです。

不正アクセス発表直後の初動対応が悪かっただけにこれからの事業展開の足枷とならないか不安です。

2 COMMENTS

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です