Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「プレミアム・アウトレット」からの流出データ、5カ所で公開を確認

三菱地所・サイモンは、同社が運営する「プレミアム・アウトレット」の顧客情報が流出した問題で調査結果を明らかにした。「SQLインジェクション」が原因で、流出した情報が少なくとも5カ所で公開されていることが確認されたという。

20180607_po_001.jpg
臨時ページで注意喚起を行っているプレミアム・アウトレット

同社では、メールマガジン「ショッパークラブ」を購読する一部会員のメールアドレスやログインパスワードが、外部に流出した可能性があることを4月7日に公表。外部事業者による調査を進めていた

調査結果によると、不正アクセスは、2017年5月から2018年1月にかけて、国内外より複数回にわたり行われたという。ウェブアプリケーションのSQLインジェクションの脆弱性を突かれたことが原因で、情報漏洩が発生した。

流出が確認されたのは、メールアドレスとログインパスワードの組みあわせが一致しているデータ約24万件と、メールアドレスのみ一致した約3万件。これらは4月14日に公表済みだが、さらにユーザーのログイン時にエラーとなったデータも含まれることが判明している。

(Security NEXT - 2018/06/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

研究参加者のメアドが流出か、SQLi攻撃の痕跡 - 統数研
SQLi攻撃で顧客情報流出、顧客に脅迫メールも - アパレルブランド
資格検定申込サイトへSQLi攻撃 - メアド流出の可能性
経産省、メタップスPに行政処分 - 診断で脆弱性見つかるも報告書改ざん
問合システムにブラインドSQLi攻撃、メアド流出の可能性 - 名古屋大
サーバに大量のSQLi攻撃、メアド流出か - エフシージー総研
ほくせんカードの会員サイトにSQLi攻撃 - 顧客情報4.4万件が流出の可能性
SQLi攻撃でメールアドレスが流出か - アウトドア用品企画会社
メタップスP、クレカ情報など最大約46万件が流出か - 不正ログインやSQLi攻撃で
日能研のウェブサーバに不正アクセス - SQLi攻撃でメルアド流出か