Vtuber支援サービスでユーザーのメールアドレスが流出、暗号化されたパスワードの脆弱性も判明（ZIG）

株式会社ZIGは6月13日、同社が運営する応援するVtuberを継続的に支援し活動を支えるファンコミュニティサービス「MeChu」にて、ユーザーのメールアドレスの流出と流出したパスワードの脆弱性が判明したと発表した。

これは6月10日午後8時24分に、ユーザーからMeChuのホーム画面のソース画面にメールアドレス、ログインパスワードが表示されていると連絡があり判明したもので、同社では同日午後8時59分に必要情報のみ表示されるよう修正作業を完了したが、その後、管理画面とinfo画面のソース画面でもメールアドレスとパスワードが表示されていることを確認、同日午後11時46分に修正作業を完了し管理画面、info画面ともにパスワードが暗号化されていることを確認した。

しかし翌6月11日にユーザーから再度連絡があり、同社で調査したところマイページ画面のソース画面でもメールアドレスとパスワードが表示されていることを確認、MeChuサービスをメンテナンスモードに変更し、パスワードが暗号化されているものであることを確認し、全ての画面で必要情報のみ表示されるよう修正作業を完了しメンテナンスモードを解除し、MeChuサービス上でも最終確認を行った。

同社では6月11日午後7時34分に、MeChu公式TwitterアカウントとMeChu内のお知らせでVtuberのメールアドレスと暗号化されたログインパスワードの流出についてアナウンスを行った。その後同日午後7時40分から、ユーザーのメールアドレス流出の可能性と暗号化されたパスワードの脆弱性の調査を開始したところ、MeChuサービスサイト外の管理画面でソース画面からユーザーのメールアドレスと暗号化されたパスワードが閲覧可能であったこと、更に暗号化されたパスワードに復号が容易に可能な脆弱性が判明した。

同社によると、管理者不正ログインによる情報流出は確認されず、クレジットカード情報についても決済代行サービスを利用しているため同社では保持しておらず、流出は無いとのこと。

同社では、暗号化されたパスワードに復号が容易に可能な脆弱性が判明したため、ユーザーにパスワードの変更を呼びかけている。

同社では今後、定期的に研修と運用状況のチェックを行い規定やマニュアルに則った情報管理を徹底し、運営にて発生し得るリスクの定期的な検討と対策、MeChuでのあらゆるサービスと機能の繰り返しテストによるリスク回避を行い再発防止に務めるとのこと。