Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「ヤマケイオンライン」への不正アクセス、一部個人情報の流出を確認

山と溪谷社が運営する登山情報サイト「ヤマケイオンライン」が不正アクセスを受けた問題で、詳細が明らかになった。一部で個人情報の流出が確認されたが、ログの保管期間は1カ月間で、それ以前については確認できない状況だという。

今回の不正アクセスは、同サイトのウェブアプリケーションに脆弱性が存在し、会員のデータベースなどが「SQLインジェクション」による不正アクセスを受けたもの。

会員から、同サイトのみで利用するメールアドレスに対してフィッシングメールが届いたとの報告があり、問題が発覚。同社では会員へ注意喚起を行うとともに、調査を進めていた。

今回の不正アクセスを受けて、同社ではログが残っていた10月28日から11月29日までを調べたところ、10月31日、11月22日、同月23日に不正アクセスを受けており、会員情報が流出していることを確認した。

20171222_yk_001.jpg
流出が確認された会員情報(表:山と溪谷社)

同調査で流出が確認された会員情報は1160人分。そのうち1154人に関しては氏名のみとしている。

3人についてはメールアドレスのみ、1人は氏名とメールアドレスが流出。そのほか2人に関しては、氏名とメールアドレスのほか、住所や電話番号、性別、生年月日などすべての登録情報が含まれていた。

ただし、ログが残っていない10月27日以前に関しては調査を行うことができず、流出の有無など確認できないという。同サイトは2010年にスタートし、現在のウェブアプリケーションは2016年10月より稼働。11月29日時点で、登録会員は約22万人にのぼる。

今回の問題を受け、同社では全登録会員に対し、11月29日に第1報を送信。注意喚起を実施した。今回あらたに判明した状況についても報告、謝罪している。被害を警察へ届けたほか、個人情報保護委員会に対しても報告を行う予定。

また同社では再発防止に向けて不正アクセスの原因となった脆弱性を修正。セキュリティ対策の強化を進める。

(Security NEXT - 2017/12/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

2017年に不正アクセス、日本語脅迫メール届き情報流出が発覚 - ユピテル
ASPに対する不正アクセスの調査結果を公表 - トレードワークス
日之出出版の通販サイト2サイトが不正アクセス被害 - 指摘は約1年前
JA高崎ハムの通信販売サイトに不正アクセス - クレカ情報流出の可能性
電子たばこ通販サイトに不正アクセス - 偽決済フォーム設置される
KADOKAWAの海外子会社に不正アクセス - ランサムウェアか
職員アカウントが海外より不正アクセス、スパムの踏み台に - 尚絅学院大
「サンリオピューロランド」の運営会社サイトに不正アクセス
政府のセキュリティ訓練参加者情報が流出 - 委託先ツール経由で
ランサム被害で顧客や関係者の情報が流出した可能性 - サブウェイ