株式会社幻冬舎は1月15日、同社が運営する幻冬舎plusが第三者による不正アクセスにより、会員情報の一部が流出した可能性があることが判明したと発表した。
これは2017年12月27日に同サイトの会員から、登録したアドレス宛にフィッシングメールが届いたとの報告を受けてサーバーログ等の調査を行い発覚したというもの。
同社がシステム開発およびサーバー管理を委託している外部の協力会社が2017年3月30日に実施したシステムのバージョンアップの際に脆弱性が発生。2017年8月18日に当該サイトのパフォーマンス低下を検知し調査したところ、この脆弱性が発見され即時対策を実施したが、その際に脆弱性が発生した期間に対しての協力会社による不正アクセスの調査が実施されず、その時点では不正アクセスが認識できていなかったという。今回の調査で改めてサーバーのログを解析したところ、ログを保存していた2017年7月16日以降でメールアドレスに対する不正アクセスの痕跡が認められたとのこと。これより前の期間はサーバーのログが保存されていないため不正アクセスがあったかどうか不明だが、この脆弱性を意図的に利用して会員情報が不正に取得できる状況だったという。
流出した可能性のある会員情報は、2013年11月12日から2017年8月18日までに会員登録された最大93,014名のメールアドレス、ユーザーID、お名前(読み仮名含む)で、パスワードや生年月日、決済時のクレジットカード情報等は含まれていないとのこと。
これは2017年12月27日に同サイトの会員から、登録したアドレス宛にフィッシングメールが届いたとの報告を受けてサーバーログ等の調査を行い発覚したというもの。
同社がシステム開発およびサーバー管理を委託している外部の協力会社が2017年3月30日に実施したシステムのバージョンアップの際に脆弱性が発生。2017年8月18日に当該サイトのパフォーマンス低下を検知し調査したところ、この脆弱性が発見され即時対策を実施したが、その際に脆弱性が発生した期間に対しての協力会社による不正アクセスの調査が実施されず、その時点では不正アクセスが認識できていなかったという。今回の調査で改めてサーバーのログを解析したところ、ログを保存していた2017年7月16日以降でメールアドレスに対する不正アクセスの痕跡が認められたとのこと。これより前の期間はサーバーのログが保存されていないため不正アクセスがあったかどうか不明だが、この脆弱性を意図的に利用して会員情報が不正に取得できる状況だったという。
流出した可能性のある会員情報は、2013年11月12日から2017年8月18日までに会員登録された最大93,014名のメールアドレス、ユーザーID、お名前(読み仮名含む)で、パスワードや生年月日、決済時のクレジットカード情報等は含まれていないとのこと。
