{{financeCode}}
{{swiftCode}}

「りゅうぎんWeb申込サイト」システムへの第三者による不正アクセス発生および「りゅうぎんWeb申込サイト」「来店予約サービス」のサービス一時停止について

2021/06/24

株 式 会 社 琉 球 銀 行

 

 琉球銀行(頭取 川上 康)は、このたび「りゅうぎんWeb申込サイト」(詳細後記)のお客様申込情報等を管理する社外のクラウド型管理システムに対して、第三者からの不正アクセスがあったことが判明しましたのでご報告いたします。
 本件発覚を受けて直ちに不正アクセスを防ぐ対応を行っております。現時点において、本件の影響によるお客様への被害等は確認されておりません。また、不正アクセスは、「りゅうぎんWeb申込サイト」および「来店予約サービス」で利用している社外のクラウド型システムのみであり、琉球銀行の基幹システムやその他システムを利用するWebサービスへ影響があるものではございません。
 本件発生原因については調査に時間を要することから、「りゅうぎんWeb申込サイト」および同一システムで運用している「来店予約サービス」について、サービスを一時停止させていただきます。第三者からのアクセス状況についても現在調査中であり、詳細が分かり次第、改めて公表いたします。
 不正アクセスを受けた可能性のある情報だけで、不正に出金やインターネットバンキングへのログオンができるものではございませんが、IDやパスワードを入力させようとするフィッシング・メール等につきましては十分にご注意ください。琉球銀行より電話や電子メールなどで暗証番号やログオンパスワード等を聞き出すことはございませんので、併せてご注意いただくようお願い申し上げます。
 お客様にご迷惑とご心配をお掛けしておりますことを、心よりお詫び申し上げます。
 本件概要等については下記のとおりです。

  1. 第三者からのアクセスがあった可能性のあるお客様
    「りゅうぎんWeb申込サイト」および「来店予約サービス」をご利用されたことのあるお客様
    <本件対象サービス> ※両サービスは現在一時停止しております。
    「りゅうぎんWeb申込サイト」
     琉球銀行のホームページより、普通預金口座開設、インターネットバンキング、Visaデビットカードをお申込みいただけるサービス
    「来店予約サービス」
     琉球銀行のホームページより、ローンセンターへの来店予約を行うサービス
    ※琉球銀行の他のウェブサービス(各種ローンのWeb完結手続、Web口振手続、外為Web手続、各種アプリ等)は、本件の対象外です。
  2. 現時点で確認されている第三者によるアクセスの内容および範囲
    (1)対象のお客様:445先
     ※現在調査継続中です。
     ※不正アクセスが確認されたお客様には個別にご連絡しております。
    (2)対象の情報
     ①共通事項:姓・名、登録メールアドレス
     ②一部のお客様に関する事項(お客様により異なります)
     電話番号、携帯電話番号、生年月日、性別、住所、職業、職場の名称、職場の電話番号、店舗名*1、店番*1、口座番号*1、キャッシュカード暗証番号(暗号化されたもの) *2、キャッシュカード暗証番号(取引不成立の1件) *2、インターネットバンキングログオンパスワード(取引不成立の2件)*2、Visaデビットカード暗証番号(取引不成立の3件)*2
      *1 「りゅうぎんWeb申込サイト」に入力された口座情報に限ります。
      *2 お取引成立後は、キャッシュカード暗証番号は暗号化、インターネットバンキングログオンパスワードおよびVisaデビットカード暗証番号は削除されます。
    <補足>
    ・次の情報への不正アクセスは確認されておりません。
    (例)本人確認書類の画像、振込・入出金等の取引履歴、インターネットバンキングご利用カードの契約者番号・確認番号、Visaデビットカードの会員番号・有効期限・セキュリティコード、Visaデビット会員専用WebログインIDおよびパスワード、Visaデビット購入履歴など
    ・「銀行窓口・郵送」等での手続など、「りゅうぎんWeb申込サイト」以外の方法でお申し込みされたお客様の情報は、本件の対象外です。
  3. 経緯
     2021年6月7日(月)、社外のシステム保守会社において「りゅうぎんWeb申込サイト」のお客様情報・申込情報を管理する外部クラウド型管理システムのログを調査したところ、同社からお客様情報・申込情報に対して、第三者からの不正アクセスがあった旨の報告を受けたことから、対応検討と全容把握のための調査を進めてまいりました。
     同月18日(金)、不正アクセスが確認された対象のお客様445先、不正アクセスを受けた情報に関する内容および想定される原因等について報告を受けました。
     同月21日(月)より、不正アクセスが確認された対象のお客様に対し、個別にメール、ご案内文書の郵送、お電話にてご連絡をしております。
     同月23日(水)、不正アクセスが判明しご連絡がつくお客様への案内・注意喚起が一巡したことから、本日の公表に至りました。また、当該システムの保守・管理会社より、不正アクセスの対象となるお客様が追加で発生する可能性があり、対象調査に時間を要するとの報告を受けたため、二次被害防止を目的に、同内容についても公表しております。
  4. 原因
     「りゅうぎんWeb申込みサイト」のお客様情報・申込情報を管理する、社外のクラウド型管理システムにおけるセキュリティ設定の不備によります。
  5. 不正アクセスが確認されているお客様への対応
     ご連絡可能なお客様へ、メール、文書の郵送およびお電話にて、発生した事象に関するご説明とお詫びを申し上げるとともに、二次被害に関する注意喚起および被害に遭われた際のお問い合わせ先のご案内を行っております。
  6. 再発防止策
     琉球銀行では、今回の事態を厳粛に受け止め、社外クラウド型システムの利用に対するセキュリティの強化および定期的な見直しを行い、再発防止に努めてまいります。

 このたびは、お客様にご迷惑およびご心配をお掛けしておりますことを、重ねて深くお詫び申し上げます。

以 上

<本件に関するお客様サポートお問い合わせ先>
営業統括部 お客様サポートチーム:0120-996-717(平日 午前9時~午後5時)
※6/26(土)6/27(日)は午前10時~午後4時にて承ります。