Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「ヤマケイオンライン」への不正アクセス、一部個人情報の流出を確認

山と溪谷社が運営する登山情報サイト「ヤマケイオンライン」が不正アクセスを受けた問題で、詳細が明らかになった。一部で個人情報の流出が確認されたが、ログの保管期間は1カ月間で、それ以前については確認できない状況だという。

今回の不正アクセスは、同サイトのウェブアプリケーションに脆弱性が存在し、会員のデータベースなどが「SQLインジェクション」による不正アクセスを受けたもの。

会員から、同サイトのみで利用するメールアドレスに対してフィッシングメールが届いたとの報告があり、問題が発覚。同社では会員へ注意喚起を行うとともに、調査を進めていた。

今回の不正アクセスを受けて、同社ではログが残っていた10月28日から11月29日までを調べたところ、10月31日、11月22日、同月23日に不正アクセスを受けており、会員情報が流出していることを確認した。

20171222_yk_001.jpg
流出が確認された会員情報(表:山と溪谷社)

同調査で流出が確認された会員情報は1160人分。そのうち1154人に関しては氏名のみとしている。

3人についてはメールアドレスのみ、1人は氏名とメールアドレスが流出。そのほか2人に関しては、氏名とメールアドレスのほか、住所や電話番号、性別、生年月日などすべての登録情報が含まれていた。

ただし、ログが残っていない10月27日以前に関しては調査を行うことができず、流出の有無など確認できないという。同サイトは2010年にスタートし、現在のウェブアプリケーションは2016年10月より稼働。11月29日時点で、登録会員は約22万人にのぼる。

今回の問題を受け、同社では全登録会員に対し、11月29日に第1報を送信。注意喚起を実施した。今回あらたに判明した状況についても報告、謝罪している。被害を警察へ届けたほか、個人情報保護委員会に対しても報告を行う予定。

また同社では再発防止に向けて不正アクセスの原因となった脆弱性を修正。セキュリティ対策の強化を進める。

(Security NEXT - 2017/12/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

男性向けファッション通販サイトに不正アクセス
北國銀行子会社運営の通販モールに不正アクセス
恋愛ゲームサイトに不正アクセス、会員情報流出 - 東京ガス
業務用ビデオカメラなど扱う通販サイトに不正アクセス
柿安本店の公式通販サイトに不正アクセス
ファイルサーバに不正アクセス、データ流出か - 丸紅グループ会社
松山市関連スポーツサイトに不正アクセス - 管理者アカウントでログイン
「リラックマ」公式サイトに不正アクセス - 会員メアド流出
フォト管理アプリに不正アクセス - ユーザー情報最大143万件が流出
海外拠点経由で不正アクセス、情報流出の可能性 - 川崎重工