講談社は22日、「ViVi」公式通販サイト「NET ViVi Coordinate Collection」に外部からの不正アクセスがあり、会員10,946名の個人情報の流出を確認したと発表した。
「NET ViVi Coordinate Collection」は、パイプドビッツが提供するアパレル特化型ECプラットフォーム「スパイラルEC」を利用し、2015年8月22日からパイプドHDグループ会社のウェアハートと講談社が共同運営している。
|
講談社による発表文(一部) |
流出した情報
流出したとみられる情報は、2015年8月22日15時~2016年4月18日16時38分の間における、ViVi通販サイト「NET ViVi Coordinate Collection」の注文履歴情報15,581件。このうち、個人情報はキャンセル・退会を含め10,946名分となる。注文履歴のないユーザー、閲覧のみのユーザーは対象外。
流出した可能性のある情報は、対象ユーザー(上記10,946名)の氏名、住所、メールアドレス(PC/携帯)、電話番号、注文者コメント、管理者コメント、配送先氏名、配送先住所、配送先電話番号、注文金額、送状番号。
なお、クレジットカード決済は別会社に委託しているため、クレジットカード情報は流出していないという。また、会員ID・パスワードは注文情報に含まれない。
発覚の経緯
サービスを共同運営するウェアハートが6月7日、未出荷にも関わらず売上確定ステータスになっている注文を確認し、サービス提供元のパイプドビッツへ問い合わせ、不審なIPアドレスからの不正アクセスが発覚。調査の結果、4月18日に発生した不正アクセスで注文履歴情報が2回ダウンロードされたことが判明した。
原因はシステムの脆弱性を突いた攻撃。これによりウィルスチェックをくぐりぬけたマルウェアがサーバ内に設置され、バックドアツールが展開された。このバッグドアから、管理画面へアクセスするログインIDなどを搾取され、運営者になりすましたログインにより、注文履歴情報がダウンロードされた。
ユーザーへの対応と対策
講談社とウェアハートは、流出の対象となったユーザーへメールでお詫びの通知を行った。22日現在、個人情報流出による被害報告はないとする。また、お詫びの通知を行う送信元メールアドレスを装った、なりすましメールにも注意を喚起している。
パイプドビッツは、サーバのシステム脆弱性を解消し、同様の手口による攻撃が成立しないシステム構成へ改修。不正プログラムも駆除した。また、許可すべきでないコンテンツへのアクセス制限や、システム監視項目の拡充を通じ、不正なファイルが設置されたとしても実行を阻止・検出できる制を整えた。所轄警察、関係官庁などにも報告済みとしている。
パイプドビッツが提供する他サービスの状況
パイプドビッツによると、「NET ViVi Coordinate Collection」で使われているECプラットフォーム「スパイラルEC」を利用してECサイトを運営している43社53サイト314名の運営者ログインIDおよび、暗号化されたログインパスワードも、第三者に閲覧された可能性が高いという。ただし、データのファイル出力や転送、ダウンロードの痕跡はないとする。
また、上記のうち40社42サイトにおいて、個人情報を含む約98万件の会員データが第三者に閲覧された可能性がある。ただし、こちらもデータのファイル出力や転送、ダウンロードの痕跡はないとする。
このほか、2社2サイトが利用している決済代行サービスとの連携設定が第三者に閲覧され、22社24サイトの同設定が閲覧された可能性がある。こちらもデータのファイル出力や転送、ダウンロードの痕跡はないとし、決済代行サービスへの不正接続や悪用などの報告は確認されていないとする。
同社は、「スパイラルEC」以外に「スパイラル」、「スパイラル PLACE」、「ネットde会計」などのサービスを提供しているが、いずれも「スパイラルEC」とは異なるシステムを採用しているため、同様の手口による不正アクセスは行えないとしている。
