会員情報約3万件が流出、ダークウェブで流通 - 山と溪谷社
情報が流出した時期や経緯は不明。同社では2015年に「涸沢フェスティバル特設サイト」経由でSQLインジェクション攻撃を受けており、今回の流出との関連性について調査を進めている。
2015年の不正アクセスでは、データベースに保存されていたメールアドレス579件やハッシュ化されたパスワード1件の外部流出を公表しているが、当時のサーバ内には、ウェブアプリケーションよりアクセスできる領域に今回流出が判明した旧システムのデータも保存されていたという。
一方2017年にもSQLインジェクション攻撃による同サイト会員情報の流出が判明しているが、2015年に問題のデータは削除されており、今回判明した流出との関連性は低いと同社では見ている。
現段階のウェブサイトについて、2017年のインシデント発覚時にセキュリティ対策を強化したと同社は説明。問題発覚を受けて直近3カ月間のログについて調査しているが、攻撃の痕跡なども確認されなかった。
また2013年4月9日以降に稼働している同サイトのシステムでは、パスワードそのものは保存しておらず、ハッシュ化済みだとしている。
(Security NEXT - 2020/04/23 )
ツイート
関連リンク
PR
関連記事
ECサイト管理画面に不正アクセス、一部顧客情報が流出 - NSバイオジャパン
クラウドに不正アクセス、個人情報流出の可能性 - マイナビ
引越し見積もりシステムで個人情報流出の可能性 - アットホーム
包装資材通販サイトの侵害、決済アプリ改ざんで個人情報流出の可能性
カーテン通販サイトで決済アプリ改ざん - 個人情報流出の可能性
笹だんご通販サイトの不正アクセス - 影響範囲が判明
都立大教員がフィッシング被害 - 海外研究者アカウントからのメールで
不正アクセスで医療従事者情報などが流出か - 富士フイルムメディカル
職員用グループウェアがランサム被害、生徒情報流出か - 向上学園
予約管理システム侵害、予約者にフィッシングメール - 京都市内のホテル
