Vtuber支援サービスでユーザーのメールアドレスが流出、暗号化されたパスワードの脆弱性も判明(ZIG) | ScanNetSecurity
2024.03.19(火)

Vtuber支援サービスでユーザーのメールアドレスが流出、暗号化されたパスワードの脆弱性も判明(ZIG)

株式会社ZIGは6月13日、同社が運営する応援するVtuberを継続的に支援し活動を支えるファンコミュニティサービス「MeChu」にて、ユーザーのメールアドレスの流出と流出したパスワードの脆弱性が判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 4 枚 拡大写真
株式会社ZIGは6月13日、同社が運営する応援するVtuberを継続的に支援し活動を支えるファンコミュニティサービス「MeChu」にて、ユーザーのメールアドレスの流出と流出したパスワードの脆弱性が判明したと発表した。

これは6月10日午後8時24分に、ユーザーからMeChuのホーム画面のソース画面にメールアドレス、ログインパスワードが表示されていると連絡があり判明したもので、同社では同日午後8時59分に必要情報のみ表示されるよう修正作業を完了したが、その後、管理画面とinfo画面のソース画面でもメールアドレスとパスワードが表示されていることを確認、同日午後11時46分に修正作業を完了し管理画面、info画面ともにパスワードが暗号化されていることを確認した。

しかし翌6月11日にユーザーから再度連絡があり、同社で調査したところマイページ画面のソース画面でもメールアドレスとパスワードが表示されていることを確認、MeChuサービスをメンテナンスモードに変更し、パスワードが暗号化されているものであることを確認し、全ての画面で必要情報のみ表示されるよう修正作業を完了しメンテナンスモードを解除し、MeChuサービス上でも最終確認を行った。

同社では6月11日午後7時34分に、MeChu公式TwitterアカウントとMeChu内のお知らせでVtuberのメールアドレスと暗号化されたログインパスワードの流出についてアナウンスを行った。その後同日午後7時40分から、ユーザーのメールアドレス流出の可能性と暗号化されたパスワードの脆弱性の調査を開始したところ、MeChuサービスサイト外の管理画面でソース画面からユーザーのメールアドレスと暗号化されたパスワードが閲覧可能であったこと、更に暗号化されたパスワードに復号が容易に可能な脆弱性が判明した。

同社によると、管理者不正ログインによる情報流出は確認されず、クレジットカード情報についても決済代行サービスを利用しているため同社では保持しておらず、流出は無いとのこと。

同社では、暗号化されたパスワードに復号が容易に可能な脆弱性が判明したため、ユーザーにパスワードの変更を呼びかけている。

同社では今後、定期的に研修と運用状況のチェックを行い規定やマニュアルに則った情報管理を徹底し、運営にて発生し得るリスクの定期的な検討と対策、MeChuでのあらゆるサービスと機能の繰り返しテストによるリスク回避を行い再発防止に務めるとのこと。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. テレビ新潟放送網にサイバー攻撃、データが暗号化被害

    テレビ新潟放送網にサイバー攻撃、データが暗号化被害

  2. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

    サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

  3. マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

    マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

  4. 善意目的でスパム46万通、慈善団体が当局からお目玉

    善意目的でスパム46万通、慈善団体が当局からお目玉

  5. 理研計器の開発センターで放射性同位元素が所在不明に

    理研計器の開発センターで放射性同位元素が所在不明に

  6. 経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

    経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

  7. 愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

    愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

  8. NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

    NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

  9. SKYSEA Client View に複数の脆弱性、ラック北原氏他 報告

    SKYSEA Client View に複数の脆弱性、ラック北原氏他 報告

  10. マイクロソフト社員名乗る第三者が指示、商工会の業務用 PC 2 台に遠隔操作ソフトウェアをインストール

    マイクロソフト社員名乗る第三者が指示、商工会の業務用 PC 2 台に遠隔操作ソフトウェアをインストール

ランキングをもっと見る