成人向け動画を配信するソフト・オン・デマンド株式会社は3月27日、3月19日に公表した同社運営の「SODプライム」にて会員登録を行った顧客情報の一部が他の顧客から閲覧可能となる事象について続報を発表した。
これは3月19日に公表した「SODプライム」の顧客情報の一部が他の顧客から閲覧可能となる事象の報告について、主に時系列の訂正箇所と事故原因の調査を新たに発表したもの。
同社によると正しい時系列は3月16日午後0時24分に、同社の「SODプライム」アクセス集中対策のためにCDNサービスの利用を開始、その後午後4時25分に一旦メンテナンスモードに切り替え、午後7時23分に解除したが、同日午後10時50分に同社が契約するクレジットカード決済代行会社より、利用者がログインした際に別人のアカウントに切り替わったとの連絡があったとの報告を受け、午後10時57分に同サイトをメンテナスモードへ切替え、弊社サイトへのアクセスを強制シャットダウン、また同サイトベンダーからの指摘を受け「個人情報をキャッシュしない」「画像/JS/CSSのみキャッシュで設定」等の対策実施し、翌3月17日午前3時21分にサービス再開したが、その後午前4時3分に一旦メンテナンスモードへ切り替え、午前8時25分に解除したが、同日午後9時1分にメンテナンスモードへ切り替えた。
「SODプライム」にアクセスした顧客 最大68,898人の情報の一部(ニックネーム、メールアドレス、購入履歴、視聴履歴、レビューリスト、投稿動画、会員ステータス)が閲覧可能であった時間帯は下記の通り。そのうち配送先情報の登録がある564人はさらに氏名、住所、電話番号が他の利用者に表示される状態となった。
3月16日 午後0時24分~午後4時25分
3月16日 午後7時23分~午後10時57分
3月17日 午前3時21分~午前4時03分
3月17日 午前8時25分~午後21時01分
同社では漏えいの対象となるユーザーに対し、配送情報の登録があり、かつ配送情報にアクセスされた顧客に対し金5,000円を、他の情報を閲覧された顧客に対しては同サイトで利用できる500ポイントを、また月額会員に対しては1ヶ月分の返金対応を行うとのこと。
同社はベンダ及びセキュリティの専門業者から、CDNサービスの利用を開始した際に本来キャッシュされるべきでない情報がCDNにキャッシュされたことが本件の直接的な原因であるとの報告を受けている。
また同社では3月16日午後10時57分から、「個人情報をキャッシュしない」「画像/JS/CSSのみキャッシュで設定」等の対策を実施したが、この対策が成功しなかった原因について、サーバ側の設定がCDNサービスで適切に反映されずキャッシュされるべきでない情報がキャッシュされてしまった可能性があると情報セキュリティの専門業者から報告を受けているが、現時点でも完全に特定するには至っていない。
同社では今後、CDNサービス利用のない従前構成に復旧を行い、また新規サービスを開始する際にはアクセス数が膨れ上がる場合の対応策を事前に準備し再発防止に取り組むとのこと。
これは3月19日に公表した「SODプライム」の顧客情報の一部が他の顧客から閲覧可能となる事象の報告について、主に時系列の訂正箇所と事故原因の調査を新たに発表したもの。
同社によると正しい時系列は3月16日午後0時24分に、同社の「SODプライム」アクセス集中対策のためにCDNサービスの利用を開始、その後午後4時25分に一旦メンテナンスモードに切り替え、午後7時23分に解除したが、同日午後10時50分に同社が契約するクレジットカード決済代行会社より、利用者がログインした際に別人のアカウントに切り替わったとの連絡があったとの報告を受け、午後10時57分に同サイトをメンテナスモードへ切替え、弊社サイトへのアクセスを強制シャットダウン、また同サイトベンダーからの指摘を受け「個人情報をキャッシュしない」「画像/JS/CSSのみキャッシュで設定」等の対策実施し、翌3月17日午前3時21分にサービス再開したが、その後午前4時3分に一旦メンテナンスモードへ切り替え、午前8時25分に解除したが、同日午後9時1分にメンテナンスモードへ切り替えた。
「SODプライム」にアクセスした顧客 最大68,898人の情報の一部(ニックネーム、メールアドレス、購入履歴、視聴履歴、レビューリスト、投稿動画、会員ステータス)が閲覧可能であった時間帯は下記の通り。そのうち配送先情報の登録がある564人はさらに氏名、住所、電話番号が他の利用者に表示される状態となった。
3月16日 午後0時24分~午後4時25分
3月16日 午後7時23分~午後10時57分
3月17日 午前3時21分~午前4時03分
3月17日 午前8時25分~午後21時01分
同社では漏えいの対象となるユーザーに対し、配送情報の登録があり、かつ配送情報にアクセスされた顧客に対し金5,000円を、他の情報を閲覧された顧客に対しては同サイトで利用できる500ポイントを、また月額会員に対しては1ヶ月分の返金対応を行うとのこと。
同社はベンダ及びセキュリティの専門業者から、CDNサービスの利用を開始した際に本来キャッシュされるべきでない情報がCDNにキャッシュされたことが本件の直接的な原因であるとの報告を受けている。
また同社では3月16日午後10時57分から、「個人情報をキャッシュしない」「画像/JS/CSSのみキャッシュで設定」等の対策を実施したが、この対策が成功しなかった原因について、サーバ側の設定がCDNサービスで適切に反映されずキャッシュされるべきでない情報がキャッシュされてしまった可能性があると情報セキュリティの専門業者から報告を受けているが、現時点でも完全に特定するには至っていない。
同社では今後、CDNサービス利用のない従前構成に復旧を行い、また新規サービスを開始する際にはアクセス数が膨れ上がる場合の対応策を事前に準備し再発防止に取り組むとのこと。
