「スパイラルEC」の脆弱性が悪用され「ViVi」通販サイトで会員情報流出、同一プラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD)

株式会社講談社は6月22日、同社が刊行している女性月刊誌「ViVi」の公式通販サイト「NET ViVi Coordinate Collection」（http://www.netvivi.cc/）のサーバに対して外部からの不正アクセスがあったと発表した。調査の結果、個人情報尾が流出したことが判明したという。発表時点で、同サイトで注文履歴（注文後のキャンセルを含む）のある会員10,946名分を含む注文情報15,581件などとしている。

流出した個人情報は、2015年8月22日15時から2016年4月18日16時38分までの間に同サイトで注文を行った会員の「注文者氏名」「注文者住所」「注文者メールアドレス（PC/携帯）」「注文者電話番号」「注文者コメント」「管理者コメント」「配送先氏名」「配送先住所」「配送先電話番号」「注文金額」「送状番号」。なお、クレジットカード決済は別の会社に委託しているため、クレジットカード情報は流出していないという。

不正アクセスの端緒は、2016年6月7日に同サイトを共同運営している株式会社ウェアハートが、商品が未出荷であるのにかかわらず決済完了となっているケースに気づいたことで、調査の結果、4月18日に外部の不審なIPアドレスから2回のアクセスが判明した。

同サイトは、株式会社パイプドビッツが提供するアパレル特化型ECプラットフォーム「スパイラルEC」を利用しており、パイプドHD株式会社の発表によると同プラットフォームを利用している43社53サイト314名の、管理画面にアクセスする運営者のログインIDおよび暗号化されたログインパスワードも第三者に閲覧された可能性が高いとしている。このうち40社42サイトの個人情報を含む会員データ約98万件も閲覧された可能性があるという。

原因はシステムの脆弱性を突くサイバー攻撃であり、これにより攻撃者は不正アクセスを行い、サーバにマルウェアを設置、バックドアツールを展開させて管理画面へアクセスするためのログインIDなどの情報を搾取、運営者になりすましてログインし、注文履歴情報をダウンロードしたとみられるという。

追記
本記事は「外部からの不正アクセスで「ViVi」公式通販サイトから個人情報が流出(講談社)」の続報として、2016年6月24日(金) 8時00分「「ViVi」通販サイトで会員情報流出、最大42サイト約98万件に拡大するおそれ(講談社)」という記事タイトルで配信しましたが、タイトルが事実と異なる解釈ができるという意見をいただいたため、2016年6月27日(月) 午前10時48分 「 「スパイラルEC」 の脆弱性が悪用され 「ViVi」 通販サイトで会員情報流出、同一ECプラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD) 」 と変更しました。