「スパイラルEC」の脆弱性が悪用され「ViVi」通販サイトで会員情報流出、同一プラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.15(金)

「スパイラルEC」の脆弱性が悪用され「ViVi」通販サイトで会員情報流出、同一プラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD)

インシデント・事故 インシデント・情報漏えい

株式会社講談社は6月22日、同社が刊行している女性月刊誌「ViVi」の公式通販サイト「NET ViVi Coordinate Collection」(http://www.netvivi.cc/)のサーバに対して外部からの不正アクセスがあったと発表した。調査の結果、個人情報尾が流出したことが判明したという。発表時点で、同サイトで注文履歴(注文後のキャンセルを含む)のある会員10,946名分を含む注文情報15,581件などとしている。

流出した個人情報は、2015年8月22日15時から2016年4月18日16時38分までの間に同サイトで注文を行った会員の「注文者氏名」「注文者住所」「注文者メールアドレス(PC/携帯)」「注文者電話番号」「注文者コメント」「管理者コメント」「配送先氏名」「配送先住所」「配送先電話番号」「注文金額」「送状番号」。なお、クレジットカード決済は別の会社に委託しているため、クレジットカード情報は流出していないという。

不正アクセスの端緒は、2016年6月7日に同サイトを共同運営している株式会社ウェアハートが、商品が未出荷であるのにかかわらず決済完了となっているケースに気づいたことで、調査の結果、4月18日に外部の不審なIPアドレスから2回のアクセスが判明した。

同サイトは、株式会社パイプドビッツが提供するアパレル特化型ECプラットフォーム「スパイラルEC」を利用しており、パイプドHD株式会社の発表によると同プラットフォームを利用している43社53サイト314名の、管理画面にアクセスする運営者のログインIDおよび暗号化されたログインパスワードも第三者に閲覧された可能性が高いとしている。このうち40社42サイトの個人情報を含む会員データ約98万件も閲覧された可能性があるという。

原因はシステムの脆弱性を突くサイバー攻撃であり、これにより攻撃者は不正アクセスを行い、サーバにマルウェアを設置、バックドアツールを展開させて管理画面へアクセスするためのログインIDなどの情報を搾取、運営者になりすましてログインし、注文履歴情報をダウンロードしたとみられるという。

追記
本記事は「外部からの不正アクセスで「ViVi」公式通販サイトから個人情報が流出(講談社)」の続報として、2016年6月24日(金) 8時00分「「ViVi」通販サイトで会員情報流出、最大42サイト約98万件に拡大するおそれ(講談社)」という記事タイトルで配信しましたが、タイトルが事実と異なる解釈ができるという意見をいただいたため、2016年6月27日(月) 午前10時48分 「 「スパイラルEC」 の脆弱性が悪用され 「ViVi」 通販サイトで会員情報流出、同一ECプラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD) 」 と変更しました。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

インシデント・事故 カテゴリの人気記事 MONTHLY ランキング

  1. 「ネタバレ」サイトの運営者を逮捕、アフィリエイトで3年間で3億円の収入(ACCS)

    「ネタバレ」サイトの運営者を逮捕、アフィリエイトで3年間で3億円の収入(ACCS)

  2. ショッピングサイトへの不正アクセスで最大635件のカード情報が流出の可能性(フローラ)

    ショッピングサイトへの不正アクセスで最大635件のカード情報が流出の可能性(フローラ)

  3. 「MAME」と「大魔界村」などのアーケードゲームを無断複製したPCを販売(ACCS)

    「MAME」と「大魔界村」などのアーケードゲームを無断複製したPCを販売(ACCS)

  4. 「フジテレビダイレクト」がリスト型攻撃による不正ログイン被害(フジテレビ)

  5. Webショップに不正アクセスでカード情報流出の可能性(城山観光)

  6. 「スピードラーニング」を複製、販売していた男性を送致(ACCS)

  7. 電子書籍アプリ「BOOK☆WALKER for Windows/Mac」に複数の脆弱性(JVN)

  8. 不正アクセスによりセキュリティコードを含むカード情報が流出(高商事)

  9. カード情報を含む約3,300名分の個人情報を紛失(NHK)

  10. 小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×