成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド) | ScanNetSecurity
2020.06.01(月)

成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

成人向け動画を配信するソフト・オン・デマンド株式会社は3月27日、3月19日に公表した同社運営の「SODプライム」にて会員登録を行った顧客情報の一部が他の顧客から閲覧可能となる事象について続報を発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 6 枚 拡大写真
成人向け動画を配信するソフト・オン・デマンド株式会社は3月27日、3月19日に公表した同社運営の「SODプライム」にて会員登録を行った顧客情報の一部が他の顧客から閲覧可能となる事象について続報を発表した。

これは3月19日に公表した「SODプライム」の顧客情報の一部が他の顧客から閲覧可能となる事象の報告について、主に時系列の訂正箇所と事故原因の調査を新たに発表したもの。

同社によると正しい時系列は3月16日午後0時24分に、同社の「SODプライム」アクセス集中対策のためにCDNサービスの利用を開始、その後午後4時25分に一旦メンテナンスモードに切り替え、午後7時23分に解除したが、同日午後10時50分に同社が契約するクレジットカード決済代行会社より、利用者がログインした際に別人のアカウントに切り替わったとの連絡があったとの報告を受け、午後10時57分に同サイトをメンテナスモードへ切替え、弊社サイトへのアクセスを強制シャットダウン、また同サイトベンダーからの指摘を受け「個人情報をキャッシュしない」「画像/JS/CSSのみキャッシュで設定」等の対策実施し、翌3月17日午前3時21分にサービス再開したが、その後午前4時3分に一旦メンテナンスモードへ切り替え、午前8時25分に解除したが、同日午後9時1分にメンテナンスモードへ切り替えた。

「SODプライム」にアクセスした顧客 最大68,898人の情報の一部(ニックネーム、メールアドレス、購入履歴、視聴履歴、レビューリスト、投稿動画、会員ステータス)が閲覧可能であった時間帯は下記の通り。そのうち配送先情報の登録がある564人はさらに氏名、住所、電話番号が他の利用者に表示される状態となった。

3月16日 午後0時24分~午後4時25分
3月16日 午後7時23分~午後10時57分
3月17日 午前3時21分~午前4時03分
3月17日 午前8時25分~午後21時01分

同社では漏えいの対象となるユーザーに対し、配送情報の登録があり、かつ配送情報にアクセスされた顧客に対し金5,000円を、他の情報を閲覧された顧客に対しては同サイトで利用できる500ポイントを、また月額会員に対しては1ヶ月分の返金対応を行うとのこと。

同社はベンダ及びセキュリティの専門業者から、CDNサービスの利用を開始した際に本来キャッシュされるべきでない情報がCDNにキャッシュされたことが本件の直接的な原因であるとの報告を受けている。

また同社では3月16日午後10時57分から、「個人情報をキャッシュしない」「画像/JS/CSSのみキャッシュで設定」等の対策を実施したが、この対策が成功しなかった原因について、サーバ側の設定がCDNサービスで適切に反映されずキャッシュされるべきでない情報がキャッシュされてしまった可能性があると情報セキュリティの専門業者から報告を受けているが、現時点でも完全に特定するには至っていない。

同社では今後、CDNサービス利用のない従前構成に復旧を行い、また新規サービスを開始する際にはアクセス数が膨れ上がる場合の対応策を事前に準備し再発防止に取り組むとのこと。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 今後Nコムは旧サービスにも最新セキュリティ対策実施、撤去予定サーバ経由の不正アクセス発生受け(NTT Com)

    今後Nコムは旧サービスにも最新セキュリティ対策実施、撤去予定サーバ経由の不正アクセス発生受け(NTT Com)

  2. 楽天を騙るフィッシングメールを確認、注意喚起を発表(フィッシング対策協議会)

    楽天を騙るフィッシングメールを確認、注意喚起を発表(フィッシング対策協議会)

  3. 日本はランサムウェア暗号化成功率世界最悪、復旧費用は世界2位の高額(ソフォス)

    日本はランサムウェア暗号化成功率世界最悪、復旧費用は世界2位の高額(ソフォス)

  4. セキュリティ診断の「切り込み隊長」、イエラエセキュリティが拓くフォレンジックの先にある地平

    セキュリティ診断の「切り込み隊長」、イエラエセキュリティが拓くフォレンジックの先にある地平

  5. メール配信プログラムのコーディングミス重なる、原価マスク販売で誤送信(トリニティ)

    メール配信プログラムのコーディングミス重なる、原価マスク販売で誤送信(トリニティ)

  6. iOSに“脱獄”につながる未対策の脆弱性(JVN)

    iOSに“脱獄”につながる未対策の脆弱性(JVN)

  7. 問い合わせフォームを悪用した不正メールに注意喚起、発信元IP特定し遮断(船橋市)

    問い合わせフォームを悪用した不正メールに注意喚起、発信元IP特定し遮断(船橋市)

  8. IoTと5Gのセキュリティ対策進捗状況(総務省)

    IoTと5Gのセキュリティ対策進捗状況(総務省)

  9. Scan BASIC 登録方法

    Scan BASIC 登録方法

  10. 外部から不正にWebサイトのプログラム書き換え(高知県言語聴覚士会)

    外部から不正にWebサイトのプログラム書き換え(高知県言語聴覚士会)

ランキングをもっと見る