Vtuber支援サービスでユーザーのメールアドレスが流出、暗号化されたパスワードの脆弱性も判明(ZIG) | ScanNetSecurity
2020.02.26(水)

Vtuber支援サービスでユーザーのメールアドレスが流出、暗号化されたパスワードの脆弱性も判明(ZIG)

株式会社ZIGは6月13日、同社が運営する応援するVtuberを継続的に支援し活動を支えるファンコミュニティサービス「MeChu」にて、ユーザーのメールアドレスの流出と流出したパスワードの脆弱性が判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 4 枚 拡大写真
株式会社ZIGは6月13日、同社が運営する応援するVtuberを継続的に支援し活動を支えるファンコミュニティサービス「MeChu」にて、ユーザーのメールアドレスの流出と流出したパスワードの脆弱性が判明したと発表した。

これは6月10日午後8時24分に、ユーザーからMeChuのホーム画面のソース画面にメールアドレス、ログインパスワードが表示されていると連絡があり判明したもので、同社では同日午後8時59分に必要情報のみ表示されるよう修正作業を完了したが、その後、管理画面とinfo画面のソース画面でもメールアドレスとパスワードが表示されていることを確認、同日午後11時46分に修正作業を完了し管理画面、info画面ともにパスワードが暗号化されていることを確認した。

しかし翌6月11日にユーザーから再度連絡があり、同社で調査したところマイページ画面のソース画面でもメールアドレスとパスワードが表示されていることを確認、MeChuサービスをメンテナンスモードに変更し、パスワードが暗号化されているものであることを確認し、全ての画面で必要情報のみ表示されるよう修正作業を完了しメンテナンスモードを解除し、MeChuサービス上でも最終確認を行った。

同社では6月11日午後7時34分に、MeChu公式TwitterアカウントとMeChu内のお知らせでVtuberのメールアドレスと暗号化されたログインパスワードの流出についてアナウンスを行った。その後同日午後7時40分から、ユーザーのメールアドレス流出の可能性と暗号化されたパスワードの脆弱性の調査を開始したところ、MeChuサービスサイト外の管理画面でソース画面からユーザーのメールアドレスと暗号化されたパスワードが閲覧可能であったこと、更に暗号化されたパスワードに復号が容易に可能な脆弱性が判明した。

同社によると、管理者不正ログインによる情報流出は確認されず、クレジットカード情報についても決済代行サービスを利用しているため同社では保持しておらず、流出は無いとのこと。

同社では、暗号化されたパスワードに復号が容易に可能な脆弱性が判明したため、ユーザーにパスワードの変更を呼びかけている。

同社では今後、定期的に研修と運用状況のチェックを行い規定やマニュアルに則った情報管理を徹底し、運営にて発生し得るリスクの定期的な検討と対策、MeChuでのあらゆるサービスと機能の繰り返しテストによるリスク回避を行い再発防止に務めるとのこと。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 複数の製品にDLLハイジャックの脆弱性(トレンドマイクロ)

    複数の製品にDLLハイジャックの脆弱性(トレンドマイクロ)

  2. ホームセンターWebサイトが改ざん被害、別サイトへ誘導(ケーヨー)

    ホームセンターWebサイトが改ざん被害、別サイトへ誘導(ケーヨー)

  3. JR山手線で寝ている間にUSBメモリやノートPC置き引き(筑波大学附属高等学校)

    JR山手線で寝ている間にUSBメモリやノートPC置き引き(筑波大学附属高等学校)

  4. 「いちまさオンラインショップ」に不正アクセス、セキュリティコード含む約300件流出可能性(一正蒲鉾)

    「いちまさオンラインショップ」に不正アクセス、セキュリティコード含む約300件流出可能性(一正蒲鉾)

  5. NEC製のWi-Fiホームルータ製品に複数の脆弱性(JVN)

    NEC製のWi-Fiホームルータ製品に複数の脆弱性(JVN)

  6. gmai.com ドメインは実在、タイプミス誤送信 法人情報流出(新潟県)

    gmai.com ドメインは実在、タイプミス誤送信 法人情報流出(新潟県)

  7. CrowdStrike Blog:FANCY BEAR( APT28 )、ファンシーベアとは何者か?

    CrowdStrike Blog:FANCY BEAR( APT28 )、ファンシーベアとは何者か?

  8. 保有ドメインへ不正アクセス、迷惑メール送信の踏み台に(日本郵便)

    保有ドメインへ不正アクセス、迷惑メール送信の踏み台に(日本郵便)

  9. 教育メニューにNRIセキュアの「セキュアEggs」を追加(GSX)

    教育メニューにNRIセキュアの「セキュアEggs」を追加(GSX)

  10. 学生がUSBメモリ紛失、実習で作成した個人情報を保存(天使大学)

    学生がUSBメモリ紛失、実習で作成した個人情報を保存(天使大学)

ランキングをもっと見る