「スパイラルEC」の脆弱性が悪用され「ViVi」通販サイトで会員情報流出、同一プラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.03.28(火)

「スパイラルEC」の脆弱性が悪用され「ViVi」通販サイトで会員情報流出、同一プラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD)

インシデント・事故 インシデント・情報漏えい

株式会社講談社は6月22日、同社が刊行している女性月刊誌「ViVi」の公式通販サイト「NET ViVi Coordinate Collection」(http://www.netvivi.cc/)のサーバに対して外部からの不正アクセスがあったと発表した。調査の結果、個人情報尾が流出したことが判明したという。発表時点で、同サイトで注文履歴(注文後のキャンセルを含む)のある会員10,946名分を含む注文情報15,581件などとしている。

流出した個人情報は、2015年8月22日15時から2016年4月18日16時38分までの間に同サイトで注文を行った会員の「注文者氏名」「注文者住所」「注文者メールアドレス(PC/携帯)」「注文者電話番号」「注文者コメント」「管理者コメント」「配送先氏名」「配送先住所」「配送先電話番号」「注文金額」「送状番号」。なお、クレジットカード決済は別の会社に委託しているため、クレジットカード情報は流出していないという。

不正アクセスの端緒は、2016年6月7日に同サイトを共同運営している株式会社ウェアハートが、商品が未出荷であるのにかかわらず決済完了となっているケースに気づいたことで、調査の結果、4月18日に外部の不審なIPアドレスから2回のアクセスが判明した。

同サイトは、株式会社パイプドビッツが提供するアパレル特化型ECプラットフォーム「スパイラルEC」を利用しており、パイプドHD株式会社の発表によると同プラットフォームを利用している43社53サイト314名の、管理画面にアクセスする運営者のログインIDおよび暗号化されたログインパスワードも第三者に閲覧された可能性が高いとしている。このうち40社42サイトの個人情報を含む会員データ約98万件も閲覧された可能性があるという。

原因はシステムの脆弱性を突くサイバー攻撃であり、これにより攻撃者は不正アクセスを行い、サーバにマルウェアを設置、バックドアツールを展開させて管理画面へアクセスするためのログインIDなどの情報を搾取、運営者になりすましてログインし、注文履歴情報をダウンロードしたとみられるという。

追記
本記事は「外部からの不正アクセスで「ViVi」公式通販サイトから個人情報が流出(講談社)」の続報として、2016年6月24日(金) 8時00分「「ViVi」通販サイトで会員情報流出、最大42サイト約98万件に拡大するおそれ(講談社)」という記事タイトルで配信しましたが、タイトルが事実と異なる解釈ができるという意見をいただいたため、2016年6月27日(月) 午前10時48分 「 「スパイラルEC」 の脆弱性が悪用され 「ViVi」 通販サイトで会員情報流出、同一ECプラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD) 」 と変更しました。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

インシデント・事故 カテゴリの人気記事 MONTHLY ランキング

  1. 都税クレジットカード支払サイトで不正アクセス、カード情報が流出(GMOペイメントゲートウェイ)

    都税クレジットカード支払サイトで不正アクセス、カード情報が流出(GMOペイメントゲートウェイ)

  2. 廃棄処分したはずのハードディスクが流出(岐阜県美濃加茂市)

    廃棄処分したはずのハードディスクが流出(岐阜県美濃加茂市)

  3. 不正アクセスによりアカウント情報約4万件が流出可能性 (法政大学)

    不正アクセスによりアカウント情報約4万件が流出可能性 (法政大学)

  4. 「MakeShop」元従業員、店舗側顧客情報や営業関連データ持ち出し(GMOメイクショップ)

  5. 「国際郵便マイページサービス」が不正アクセス、29,116 件のアドレスの流出可能性(日本郵便)

  6. JINS オンラインショップに不正アクセス、118万件の個人情報が流出の可能性(ジェイアイエヌ)

  7. 1917名の患者の個人情報が記録されたUSBメモリを紛失 (北里大学東病院)

  8. 表計算ソフト誤操作で寄付者とは異なるマイナンバーを記載した通知書を送付 (湖西市)

  9. 個人情報漏えい事故、3つの技術的な問題と2つの管理体制の問題が明らかに(イプサ)

  10. 「魔界村」などを複製した「in1」カートリッジ販売で逮捕(ACCS)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×