カードショップBIG-WEB、平文パスワード含む会員情報流出（ホビーズファクトリー）

株式会社ホビーズファクトリーは2月27日、同社が運営する「カードショップBIG-WEB」の利用者の登録情報の漏えいが判明したと発表した。

これは2月14日に、外部情報機関から同社に対し「カードショップBIG-WEB」の会員情報漏えいの旨の通報があり、当該情報機関から提供を受けた漏えいが疑われる情報と同社データベース上の情報を突合し、情報漏えいの事実を確認したというもの。同社によると、2017年9月以前に使用していたサーバに第三者からの不正アクセスが行われ会員情報が流出した可能性が高いとのこと。

流出したのは「カードショップBIG-WEB」に2012年4月以前の会員情報63,587件で、登録ID、平文のパスワード、メールアドレスが含まれていた。漏えいした情報を元に不正ログインがあった場合は、姓名、送付先住所、電話番号等の登録情報も漏えいした可能性がある。なお、同社ではクレジットカード情報をデータベースに保持していないため、カード情報の流出は無い。

同社によると、流出した会員情報が2012年4月以前となっているのは、その時期に情報が漏えいしたが、拡散されずに2020年2月14日に発覚したと推測される。

同社では、対象のユーザーにメールにて謝罪と登録パスワードの変更を依頼、情報漏えいの原因等の調査を行うとともに、関係各所への報告の準備をしている。

同社では、不正アクセスへの技術的予防措置と確実なセキュリティ対策を実現するためのサーバー環境の強化を行うとともに、情報管理に精通している弁護士と協働し再発防止に努めるとのこと。