Vtuber支援サービスでユーザーのメールアドレスが流出、暗号化されたパスワードの脆弱性も判明(ZIG) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.07.20(土)

Vtuber支援サービスでユーザーのメールアドレスが流出、暗号化されたパスワードの脆弱性も判明(ZIG)

株式会社ZIGは6月13日、同社が運営する応援するVtuberを継続的に支援し活動を支えるファンコミュニティサービス「MeChu」にて、ユーザーのメールアドレスの流出と流出したパスワードの脆弱性が判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 4 枚 拡大写真
株式会社ZIGは6月13日、同社が運営する応援するVtuberを継続的に支援し活動を支えるファンコミュニティサービス「MeChu」にて、ユーザーのメールアドレスの流出と流出したパスワードの脆弱性が判明したと発表した。

これは6月10日午後8時24分に、ユーザーからMeChuのホーム画面のソース画面にメールアドレス、ログインパスワードが表示されていると連絡があり判明したもので、同社では同日午後8時59分に必要情報のみ表示されるよう修正作業を完了したが、その後、管理画面とinfo画面のソース画面でもメールアドレスとパスワードが表示されていることを確認、同日午後11時46分に修正作業を完了し管理画面、info画面ともにパスワードが暗号化されていることを確認した。

しかし翌6月11日にユーザーから再度連絡があり、同社で調査したところマイページ画面のソース画面でもメールアドレスとパスワードが表示されていることを確認、MeChuサービスをメンテナンスモードに変更し、パスワードが暗号化されているものであることを確認し、全ての画面で必要情報のみ表示されるよう修正作業を完了しメンテナンスモードを解除し、MeChuサービス上でも最終確認を行った。

同社では6月11日午後7時34分に、MeChu公式TwitterアカウントとMeChu内のお知らせでVtuberのメールアドレスと暗号化されたログインパスワードの流出についてアナウンスを行った。その後同日午後7時40分から、ユーザーのメールアドレス流出の可能性と暗号化されたパスワードの脆弱性の調査を開始したところ、MeChuサービスサイト外の管理画面でソース画面からユーザーのメールアドレスと暗号化されたパスワードが閲覧可能であったこと、更に暗号化されたパスワードに復号が容易に可能な脆弱性が判明した。

同社によると、管理者不正ログインによる情報流出は確認されず、クレジットカード情報についても決済代行サービスを利用しているため同社では保持しておらず、流出は無いとのこと。

同社では、暗号化されたパスワードに復号が容易に可能な脆弱性が判明したため、ユーザーにパスワードの変更を呼びかけている。

同社では今後、定期的に研修と運用状況のチェックを行い規定やマニュアルに則った情報管理を徹底し、運営にて発生し得るリスクの定期的な検討と対策、MeChuでのあらゆるサービスと機能の繰り返しテストによるリスク回避を行い再発防止に務めるとのこと。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 「NOTICE」など取組が奏功か、Mirai関連パケット減少--定点観測レポート(JPCERT/CC)

    「NOTICE」など取組が奏功か、Mirai関連パケット減少--定点観測レポート(JPCERT/CC)

  2. BEC(ビジネスメール詐欺)対策ポイントを2つの代表的被害事例から学ぶ

    BEC(ビジネスメール詐欺)対策ポイントを2つの代表的被害事例から学ぶ

  3. 「カテエネ」へパスワードリスト型攻撃、個人情報最大234件閲覧可能状態に(中部電力)

    「カテエネ」へパスワードリスト型攻撃、個人情報最大234件閲覧可能状態に(中部電力)

  4. 仮想通貨の不正流出、ホットウォレットの秘密鍵が窃取された可能性(リミックスポイント、ビットポイントジャパン)

    仮想通貨の不正流出、ホットウォレットの秘密鍵が窃取された可能性(リミックスポイント、ビットポイントジャパン)

  5. 華為のウェブに■■■■の脆弱性、■■■■の顧客情報や■■■■にリスクが及んだ可能性、■■■■を修復済(The Register)

    華為のウェブに■■■■の脆弱性、■■■■の顧客情報や■■■■にリスクが及んだ可能性、■■■■を修復済(The Register)

  6. イオンスクエアメンバーへパスワードリスト型攻撃、10名の個人情報が閲覧された可能性(イオンドットコム)

    イオンスクエアメンバーへパスワードリスト型攻撃、10名の個人情報が閲覧された可能性(イオンドットコム)

  7. より危険な目的に転用可能なAndroidマルウェアを発見(チェック・ポイント)

    より危険な目的に転用可能なAndroidマルウェアを発見(チェック・ポイント)

  8. 複数のOracle製品に脆弱性、製品の存在確認を含め対応を呼びかけ(JPCERT/CC、IPA)

    複数のOracle製品に脆弱性、製品の存在確認を含め対応を呼びかけ(JPCERT/CC、IPA)

  9. クックパッドが「CrowdStrike Falcon プラットフォーム」を採用(CrowdStrike Japan)

    クックパッドが「CrowdStrike Falcon プラットフォーム」を採用(CrowdStrike Japan)

  10. サイボウズ「Garoon」に複数の脆弱性(JVN)

    サイボウズ「Garoon」に複数の脆弱性(JVN)

ランキングをもっと見る