Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「ヤマケイオンライン」への不正アクセス、一部個人情報の流出を確認

山と溪谷社が運営する登山情報サイト「ヤマケイオンライン」が不正アクセスを受けた問題で、詳細が明らかになった。一部で個人情報の流出が確認されたが、ログの保管期間は1カ月間で、それ以前については確認できない状況だという。

今回の不正アクセスは、同サイトのウェブアプリケーションに脆弱性が存在し、会員のデータベースなどが「SQLインジェクション」による不正アクセスを受けたもの。

会員から、同サイトのみで利用するメールアドレスに対してフィッシングメールが届いたとの報告があり、問題が発覚。同社では会員へ注意喚起を行うとともに、調査を進めていた。

今回の不正アクセスを受けて、同社ではログが残っていた10月28日から11月29日までを調べたところ、10月31日、11月22日、同月23日に不正アクセスを受けており、会員情報が流出していることを確認した。

20171222_yk_001.jpg
流出が確認された会員情報(表:山と溪谷社)

同調査で流出が確認された会員情報は1160人分。そのうち1154人に関しては氏名のみとしている。

3人についてはメールアドレスのみ、1人は氏名とメールアドレスが流出。そのほか2人に関しては、氏名とメールアドレスのほか、住所や電話番号、性別、生年月日などすべての登録情報が含まれていた。

ただし、ログが残っていない10月27日以前に関しては調査を行うことができず、流出の有無など確認できないという。同サイトは2010年にスタートし、現在のウェブアプリケーションは2016年10月より稼働。11月29日時点で、登録会員は約22万人にのぼる。

今回の問題を受け、同社では全登録会員に対し、11月29日に第1報を送信。注意喚起を実施した。今回あらたに判明した状況についても報告、謝罪している。被害を警察へ届けたほか、個人情報保護委員会に対しても報告を行う予定。

また同社では再発防止に向けて不正アクセスの原因となった脆弱性を修正。セキュリティ対策の強化を進める。

(Security NEXT - 2017/12/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

問合フォームに別人の個人情報、キャッシュ設定不備で - ソフト開発会社
JRA海外駐在員事務所でフィッシング被害 - メールボックスに不正アクセス
メール覗き見職員を処分、PWなど推測して不正アクセス - 宇陀市
サポート詐欺被害でイベント参加者名簿が流出の可能性 - 山口市
総務省、LINEヤフーに行政指導 - 「電気通信事業全体の信頼を損なった」
学生服通販サイトの旧サイトに不正アクセス - クレカ情報流出の可能性
なかほら牧場の通販サイトに不正アクセス - 個人情報流出の可能性
ヘアケアツール通販サイトに不正アクセス - 個人情報流出の可能性
メールアカウント3件に不正アクセス、個人情報が流出 - 近大関連会社
トヨタの社用車管理サービスに不正アクセス - 原因は古いアクセスキー