「スパイラルEC」の脆弱性が悪用され「ViVi」通販サイトで会員情報流出、同一プラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.06.26(月)

「スパイラルEC」の脆弱性が悪用され「ViVi」通販サイトで会員情報流出、同一プラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD)

インシデント・事故 インシデント・情報漏えい

株式会社講談社は6月22日、同社が刊行している女性月刊誌「ViVi」の公式通販サイト「NET ViVi Coordinate Collection」(http://www.netvivi.cc/)のサーバに対して外部からの不正アクセスがあったと発表した。調査の結果、個人情報尾が流出したことが判明したという。発表時点で、同サイトで注文履歴(注文後のキャンセルを含む)のある会員10,946名分を含む注文情報15,581件などとしている。

流出した個人情報は、2015年8月22日15時から2016年4月18日16時38分までの間に同サイトで注文を行った会員の「注文者氏名」「注文者住所」「注文者メールアドレス(PC/携帯)」「注文者電話番号」「注文者コメント」「管理者コメント」「配送先氏名」「配送先住所」「配送先電話番号」「注文金額」「送状番号」。なお、クレジットカード決済は別の会社に委託しているため、クレジットカード情報は流出していないという。

不正アクセスの端緒は、2016年6月7日に同サイトを共同運営している株式会社ウェアハートが、商品が未出荷であるのにかかわらず決済完了となっているケースに気づいたことで、調査の結果、4月18日に外部の不審なIPアドレスから2回のアクセスが判明した。

同サイトは、株式会社パイプドビッツが提供するアパレル特化型ECプラットフォーム「スパイラルEC」を利用しており、パイプドHD株式会社の発表によると同プラットフォームを利用している43社53サイト314名の、管理画面にアクセスする運営者のログインIDおよび暗号化されたログインパスワードも第三者に閲覧された可能性が高いとしている。このうち40社42サイトの個人情報を含む会員データ約98万件も閲覧された可能性があるという。

原因はシステムの脆弱性を突くサイバー攻撃であり、これにより攻撃者は不正アクセスを行い、サーバにマルウェアを設置、バックドアツールを展開させて管理画面へアクセスするためのログインIDなどの情報を搾取、運営者になりすましてログインし、注文履歴情報をダウンロードしたとみられるという。

追記
本記事は「外部からの不正アクセスで「ViVi」公式通販サイトから個人情報が流出(講談社)」の続報として、2016年6月24日(金) 8時00分「「ViVi」通販サイトで会員情報流出、最大42サイト約98万件に拡大するおそれ(講談社)」という記事タイトルで配信しましたが、タイトルが事実と異なる解釈ができるという意見をいただいたため、2016年6月27日(月) 午前10時48分 「 「スパイラルEC」 の脆弱性が悪用され 「ViVi」 通販サイトで会員情報流出、同一ECプラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD) 」 と変更しました。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

インシデント・事故 カテゴリの人気記事 MONTHLY ランキング

  1. Apache Struts2 の脆弱性を利用した不正アクセスでアンケート情報流出の可能性(国土交通省)

    Apache Struts2 の脆弱性を利用した不正アクセスでアンケート情報流出の可能性(国土交通省)

  2. SQLインジェクション脆弱性を突いた不正アクセスで個人情報2,728件が流出(InterFM897)

    SQLインジェクション脆弱性を突いた不正アクセスで個人情報2,728件が流出(InterFM897)

  3. 「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)

    「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)

  4. 建造物侵入・現金窃盗事件で逮捕された元行員が顧客情報を持ち出し(佐賀銀行)

  5. 都税クレジットカード支払サイトで不正アクセス、カード情報が流出(GMOペイメントゲートウェイ)

  6. ビジネスソフトの海賊版販売で有罪判決、罰金など合計約4,700万円(ACCS)

  7. 「東商マート」サイトに不正アクセス、約5万件の顧客情報が漏えい(ジャパン・フード&リカー・アライアンス)

  8. JINS オンラインショップに不正アクセス、118万件の個人情報が流出の可能性(ジェイアイエヌ)

  9. Apache Struts2の脆弱性を利用した不正アクセスで約2.3万人の登録情報が流出(総務省)

  10. B.LEAGUEサイトへの不正アクセスでカード情報32,000件の流出可能性、委託先管理不充分(ぴあ)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×