Vtuber支援サービスでユーザーのメールアドレスが流出、暗号化されたパスワードの脆弱性も判明(ZIG) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.09.20(金)

Vtuber支援サービスでユーザーのメールアドレスが流出、暗号化されたパスワードの脆弱性も判明(ZIG)

株式会社ZIGは6月13日、同社が運営する応援するVtuberを継続的に支援し活動を支えるファンコミュニティサービス「MeChu」にて、ユーザーのメールアドレスの流出と流出したパスワードの脆弱性が判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 4 枚 拡大写真
株式会社ZIGは6月13日、同社が運営する応援するVtuberを継続的に支援し活動を支えるファンコミュニティサービス「MeChu」にて、ユーザーのメールアドレスの流出と流出したパスワードの脆弱性が判明したと発表した。

これは6月10日午後8時24分に、ユーザーからMeChuのホーム画面のソース画面にメールアドレス、ログインパスワードが表示されていると連絡があり判明したもので、同社では同日午後8時59分に必要情報のみ表示されるよう修正作業を完了したが、その後、管理画面とinfo画面のソース画面でもメールアドレスとパスワードが表示されていることを確認、同日午後11時46分に修正作業を完了し管理画面、info画面ともにパスワードが暗号化されていることを確認した。

しかし翌6月11日にユーザーから再度連絡があり、同社で調査したところマイページ画面のソース画面でもメールアドレスとパスワードが表示されていることを確認、MeChuサービスをメンテナンスモードに変更し、パスワードが暗号化されているものであることを確認し、全ての画面で必要情報のみ表示されるよう修正作業を完了しメンテナンスモードを解除し、MeChuサービス上でも最終確認を行った。

同社では6月11日午後7時34分に、MeChu公式TwitterアカウントとMeChu内のお知らせでVtuberのメールアドレスと暗号化されたログインパスワードの流出についてアナウンスを行った。その後同日午後7時40分から、ユーザーのメールアドレス流出の可能性と暗号化されたパスワードの脆弱性の調査を開始したところ、MeChuサービスサイト外の管理画面でソース画面からユーザーのメールアドレスと暗号化されたパスワードが閲覧可能であったこと、更に暗号化されたパスワードに復号が容易に可能な脆弱性が判明した。

同社によると、管理者不正ログインによる情報流出は確認されず、クレジットカード情報についても決済代行サービスを利用しているため同社では保持しておらず、流出は無いとのこと。

同社では、暗号化されたパスワードに復号が容易に可能な脆弱性が判明したため、ユーザーにパスワードの変更を呼びかけている。

同社では今後、定期的に研修と運用状況のチェックを行い規定やマニュアルに則った情報管理を徹底し、運営にて発生し得るリスクの定期的な検討と対策、MeChuでのあらゆるサービスと機能の繰り返しテストによるリスク回避を行い再発防止に務めるとのこと。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. CrowdStrike Blog:FANCY BEAR( APT28 )とは何者か?

    CrowdStrike Blog:FANCY BEAR( APT28 )とは何者か?

  2. 学術論文「人間よりも賢く機能するボット:Google の画像ベースの reCAPTCHA v2 を無効化するオンラインシステム」サマリー(The Register)

    学術論文「人間よりも賢く機能するボット:Google の画像ベースの reCAPTCHA v2 を無効化するオンラインシステム」サマリー(The Register)

  3. リコー製プリンタや複合機に任意コード実行などの脆弱性(JVN)

    リコー製プリンタや複合機に任意コード実行などの脆弱性(JVN)

  4. 個人情報記載書類を委託事業者が紛失、今後は書類ではなく暗号化したデータでの報告に切り替え(大阪市)

    個人情報記載書類を委託事業者が紛失、今後は書類ではなく暗号化したデータでの報告に切り替え(大阪市)

  5. 架空請求の封筒の実物写真のマスキング処理が不適切、特定のソフトで容易に外せる状態に(神奈川県)

    架空請求の封筒の実物写真のマスキング処理が不適切、特定のソフトで容易に外せる状態に(神奈川県)

  6. 「ベビータウン」「プレママタウン」にパスワードリスト型攻撃、ポイント交換も判明(ユニ・チャーム)

    「ベビータウン」「プレママタウン」にパスワードリスト型攻撃、ポイント交換も判明(ユニ・チャーム)

  7. 高額なコンサル不要 !? ~ ISOG-J 公開三つの無料ドキュメント活用方法

    高額なコンサル不要 !? ~ ISOG-J 公開三つの無料ドキュメント活用方法

  8. 「JTAS Store」に不正アクセス、最大228件のカード情報が流出(日本関税協会)

    「JTAS Store」に不正アクセス、最大228件のカード情報が流出(日本関税協会)

  9. 「Naturas Psychos Product」が偽の決済画面へ誘導される改ざん被害、カード情報が流出(ハーバルインデックス)

    「Naturas Psychos Product」が偽の決済画面へ誘導される改ざん被害、カード情報が流出(ハーバルインデックス)

  10. ハニーポットへの攻撃数は前年同時期の約12倍--上半期レポート(エフセキュア)

    ハニーポットへの攻撃数は前年同時期の約12倍--上半期レポート(エフセキュア)

ランキングをもっと見る