「スパイラルEC」の脆弱性が悪用され「ViVi」通販サイトで会員情報流出、同一プラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.22(日)

「スパイラルEC」の脆弱性が悪用され「ViVi」通販サイトで会員情報流出、同一プラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD)

インシデント・事故 インシデント・情報漏えい

株式会社講談社は6月22日、同社が刊行している女性月刊誌「ViVi」の公式通販サイト「NET ViVi Coordinate Collection」(http://www.netvivi.cc/)のサーバに対して外部からの不正アクセスがあったと発表した。調査の結果、個人情報尾が流出したことが判明したという。発表時点で、同サイトで注文履歴(注文後のキャンセルを含む)のある会員10,946名分を含む注文情報15,581件などとしている。

流出した個人情報は、2015年8月22日15時から2016年4月18日16時38分までの間に同サイトで注文を行った会員の「注文者氏名」「注文者住所」「注文者メールアドレス(PC/携帯)」「注文者電話番号」「注文者コメント」「管理者コメント」「配送先氏名」「配送先住所」「配送先電話番号」「注文金額」「送状番号」。なお、クレジットカード決済は別の会社に委託しているため、クレジットカード情報は流出していないという。

不正アクセスの端緒は、2016年6月7日に同サイトを共同運営している株式会社ウェアハートが、商品が未出荷であるのにかかわらず決済完了となっているケースに気づいたことで、調査の結果、4月18日に外部の不審なIPアドレスから2回のアクセスが判明した。

同サイトは、株式会社パイプドビッツが提供するアパレル特化型ECプラットフォーム「スパイラルEC」を利用しており、パイプドHD株式会社の発表によると同プラットフォームを利用している43社53サイト314名の、管理画面にアクセスする運営者のログインIDおよび暗号化されたログインパスワードも第三者に閲覧された可能性が高いとしている。このうち40社42サイトの個人情報を含む会員データ約98万件も閲覧された可能性があるという。

原因はシステムの脆弱性を突くサイバー攻撃であり、これにより攻撃者は不正アクセスを行い、サーバにマルウェアを設置、バックドアツールを展開させて管理画面へアクセスするためのログインIDなどの情報を搾取、運営者になりすましてログインし、注文履歴情報をダウンロードしたとみられるという。

追記
本記事は「外部からの不正アクセスで「ViVi」公式通販サイトから個人情報が流出(講談社)」の続報として、2016年6月24日(金) 8時00分「「ViVi」通販サイトで会員情報流出、最大42サイト約98万件に拡大するおそれ(講談社)」という記事タイトルで配信しましたが、タイトルが事実と異なる解釈ができるという意見をいただいたため、2016年6月27日(月) 午前10時48分 「 「スパイラルEC」 の脆弱性が悪用され 「ViVi」 通販サイトで会員情報流出、同一ECプラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD) 」 と変更しました。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

インシデント・事故 カテゴリの人気記事 MONTHLY ランキング

  1. 12,439件のお客さま情報が入った業務用パソコンが盗難被害(東京ガス、キャプティ)

    12,439件のお客さま情報が入った業務用パソコンが盗難被害(東京ガス、キャプティ)

  2. 「myTOKYOGAS」へ不正アクセス、ポイントの不正使用も確認(東京ガス)

    「myTOKYOGAS」へ不正アクセス、ポイントの不正使用も確認(東京ガス)

  3. 脆弱性を突かれ不正アクセス、番組サイトに投稿した個人情報が流出(TOKYO MX)

    脆弱性を突かれ不正アクセス、番組サイトに投稿した個人情報が流出(TOKYO MX)

  4. 「スピードラーニング」のデータをオークション目的でアップロードし逮捕(ACCS)

  5. スーパーフードの通販サイトでカード情報が流出、サイトは停止せず対策(フルッタフルッタ)

  6. 「ネタバレ」サイトの運営者を逮捕、アフィリエイトで3年間で3億円の収入(ACCS)

  7. 「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン)

  8. 小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市)

  9. 「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)

  10. SQLインジェクション脆弱性を突いた不正アクセスで個人情報2,728件が流出(InterFM897)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×