2016年06月29日

ViVi公式通販サイトが不正アクセスで個人情報約1万件漏えい

lrmcorp
LRM株式会社 記事一覧
カテゴリー: 情報セキュリティ事故・事件,   タグ: ,
このエントリーをはてなブックマークに追加 LINEで送る

screenshot-www.netvivi.cc 2016-06-28 16-54-34(NET ViVi公式HP)

概要

講談社は同社月間女性誌「ViVi」の通販サイトのサーバが2度に渡る不正アクセスを受け、会員の個人情報と注文情報が漏えいしたことを発表しました。

本件はシステムの脆弱性を突くもので、不正アクセスによりウイルスチェックをくぐり抜け、マルウェアをサーバに設置、バックドアツールが展開されたようです。

同サイトを共同運営する会社が、サイト上にて未出荷の商品が「決済完了」ステータスになっているのを発見し、調査を進めた結果、本件が発覚した模様です。

また、本件は同サイトが利用していたアパレル特化型ECプラットフォームが不正アクセスを受けたものであり、同プラットフォームを利用している42サイトの情報約98万件の情報が漏えいした恐れも否定できないとのことです。

タイムライン

2016年4月18日(月)

同サイトへ2度の不正アクセス発生。

2016年6月7日(火)

同サイト共同運営会社によるサイト上の不具合調査から、外部の不審なIPアドレスからのアクセスが発覚。

2016年6月20日(月)

不正アクセス発生時期を特定。

2016年6月22日(水)

該当顧客へのお詫びメール対応。

原因

弊社の見解

利用しているプラットフォームが情報セキュリティ対策をしっかりおこなっているかチェックしていなかったと思われます。自社からだけではなく、「委託先」からも情報が漏れるリスクがあることを加味した委託先選定が必要です。

被害

漏えい対象

2015年8月22日(土)15:00~2016年4月18日(月)16:38に同サイトにて注文をおこなった顧客の情報

流出した情報

  • 注文者氏名

  • 住所

  • メールアドレス

  • 電話番号 など

対応

攻撃元のIPアドレスとの通信を遮断し、設置されたバックドアなどの不正プログラムを駆除しました。また、サーバの不要なPUTメソッドを無効化し、システム脆弱性を解消しました。そして、同様の攻撃を不可能とするシステム構築をおこなったそうです。

加えて、顧客にたいして「なりすまし」などの二次被害の注意喚起をおこなっています。

再発防止策構築のため、現状のデータ保存状況、パスワードや暗号管理などを一から精査するとしています。

関連情報

株式会社ウェアハート「不正アクセスによる個人情報流出についてのお詫びとお知らせ」(2016/06/23)(魚拓)
講談社「ViVi公式通販サイト『NET ViViCoordinate Collection』不正アクセスによる個人情報流出についてのお詫び」(2016/06/22)(魚拓)
パイプドHD株式会社「アパレル特化型ECプラットフォーム『スパイラルEC®』における不正アクセスによる個人情報流出に関するお知らせとお詫び」(2016/06/22)(魚拓)

このエントリーをはてなブックマークに追加 LINEで送る

2016年6月29日

ViVi公式通販サイトが不正アクセスで個人情報約1万件漏えい

カテゴリー: 情報セキュリティ事故・事件

screenshot-www.netvivi.cc 2016-06-28 16-54-34(NET ViVi公式HP)

概要

講談社は同社月間女性誌「ViVi」の通販サイトのサーバが2度に渡る不正アクセスを受け、会員の個人情報と注文情報が漏えいしたことを発表しました。

本件はシステムの脆弱性を突くもので、不正アクセスによりウイルスチェックをくぐり抜け、マルウェアをサーバに設置、バックドアツールが展開されたようです。

同サイトを共同運営する会社が、サイト上にて未出荷の商品が「決済完了」ステータスになっているのを発見し、調査を進めた結果、本件が発覚した模様です。

また、本件は同サイトが利用していたアパレル特化型ECプラットフォームが不正アクセスを受けたものであり、同プラットフォームを利用している42サイトの情報約98万件の情報が漏えいした恐れも否定できないとのことです。

タイムライン

2016年4月18日(月)

同サイトへ2度の不正アクセス発生。

2016年6月7日(火)

同サイト共同運営会社によるサイト上の不具合調査から、外部の不審なIPアドレスからのアクセスが発覚。

2016年6月20日(月)

不正アクセス発生時期を特定。

2016年6月22日(水)

該当顧客へのお詫びメール対応。

原因

弊社の見解

利用しているプラットフォームが情報セキュリティ対策をしっかりおこなっているかチェックしていなかったと思われます。自社からだけではなく、「委託先」からも情報が漏れるリスクがあることを加味した委託先選定が必要です。

被害

漏えい対象

2015年8月22日(土)15:00~2016年4月18日(月)16:38に同サイトにて注文をおこなった顧客の情報

流出した情報

  • 注文者氏名

  • 住所

  • メールアドレス

  • 電話番号 など

対応

攻撃元のIPアドレスとの通信を遮断し、設置されたバックドアなどの不正プログラムを駆除しました。また、サーバの不要なPUTメソッドを無効化し、システム脆弱性を解消しました。そして、同様の攻撃を不可能とするシステム構築をおこなったそうです。

加えて、顧客にたいして「なりすまし」などの二次被害の注意喚起をおこなっています。

再発防止策構築のため、現状のデータ保存状況、パスワードや暗号管理などを一から精査するとしています。

関連情報

株式会社ウェアハート「不正アクセスによる個人情報流出についてのお詫びとお知らせ」(2016/06/23)(魚拓)
講談社「ViVi公式通販サイト『NET ViViCoordinate Collection』不正アクセスによる個人情報流出についてのお詫び」(2016/06/22)(魚拓)
パイプドHD株式会社「アパレル特化型ECプラットフォーム『スパイラルEC®』における不正アクセスによる個人情報流出に関するお知らせとお詫び」(2016/06/22)(魚拓)

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする