成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド) | ScanNetSecurity
2024.02.28(水)

成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

成人向け動画を配信するソフト・オン・デマンド株式会社は3月27日、3月19日に公表した同社運営の「SODプライム」にて会員登録を行った顧客情報の一部が他の顧客から閲覧可能となる事象について続報を発表した。

インシデント・事故
トップページ
  • トップページ
  • リリース(弊社運営の「SODプライム」における個人情報等流出に関するお詫び及びお知らせ(続報))
  • リリース(本件の事故原因の調査)
  • リリース(再発防止策と再開見込時期について)
  • リリース(お客様への弊社としての対応方針)
  • リリース(お問い合わせ先)
成人向け動画を配信するソフト・オン・デマンド株式会社は3月27日、3月19日に公表した同社運営の「SODプライム」にて会員登録を行った顧客情報の一部が他の顧客から閲覧可能となる事象について続報を発表した。

これは3月19日に公表した「SODプライム」の顧客情報の一部が他の顧客から閲覧可能となる事象の報告について、主に時系列の訂正箇所と事故原因の調査を新たに発表したもの。

同社によると正しい時系列は3月16日午後0時24分に、同社の「SODプライム」アクセス集中対策のためにCDNサービスの利用を開始、その後午後4時25分に一旦メンテナンスモードに切り替え、午後7時23分に解除したが、同日午後10時50分に同社が契約するクレジットカード決済代行会社より、利用者がログインした際に別人のアカウントに切り替わったとの連絡があったとの報告を受け、午後10時57分に同サイトをメンテナスモードへ切替え、弊社サイトへのアクセスを強制シャットダウン、また同サイトベンダーからの指摘を受け「個人情報をキャッシュしない」「画像/JS/CSSのみキャッシュで設定」等の対策実施し、翌3月17日午前3時21分にサービス再開したが、その後午前4時3分に一旦メンテナンスモードへ切り替え、午前8時25分に解除したが、同日午後9時1分にメンテナンスモードへ切り替えた。

「SODプライム」にアクセスした顧客 最大68,898人の情報の一部(ニックネーム、メールアドレス、購入履歴、視聴履歴、レビューリスト、投稿動画、会員ステータス)が閲覧可能であった時間帯は下記の通り。そのうち配送先情報の登録がある564人はさらに氏名、住所、電話番号が他の利用者に表示される状態となった。

3月16日 午後0時24分~午後4時25分
3月16日 午後7時23分~午後10時57分
3月17日 午前3時21分~午前4時03分
3月17日 午前8時25分~午後21時01分

同社では漏えいの対象となるユーザーに対し、配送情報の登録があり、かつ配送情報にアクセスされた顧客に対し金5,000円を、他の情報を閲覧された顧客に対しては同サイトで利用できる500ポイントを、また月額会員に対しては1ヶ月分の返金対応を行うとのこと。

同社はベンダ及びセキュリティの専門業者から、CDNサービスの利用を開始した際に本来キャッシュされるべきでない情報がCDNにキャッシュされたことが本件の直接的な原因であるとの報告を受けている。

また同社では3月16日午後10時57分から、「個人情報をキャッシュしない」「画像/JS/CSSのみキャッシュで設定」等の対策を実施したが、この対策が成功しなかった原因について、サーバ側の設定がCDNサービスで適切に反映されずキャッシュされるべきでない情報がキャッシュされてしまった可能性があると情報セキュリティの専門業者から報告を受けているが、現時点でも完全に特定するには至っていない。

同社では今後、CDNサービス利用のない従前構成に復旧を行い、また新規サービスを開始する際にはアクセス数が膨れ上がる場合の対応策を事前に準備し再発防止に取り組むとのこと。
《ScanNetSecurity》

編集部おすすめの記事

特集

インシデント・事故 アクセスランキング

  1. ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

    ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

  2. ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

    ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

  3. ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

    ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

  4. 「COLORFUL CANDY STYLE 公式オンラインショップ」他2サイトへ不正アクセスでカード情報漏えい、複雑性から調査に1年要す

  5. トヨタモビリティサービスの「Booking Car」を利用していた企業等のメールアドレスが漏えいした可能性、AWSアクセスキーの不適切な取り扱いが原因

  6. 東和エンジニアリングへのランサムウェア攻撃、VPN機器の脆弱性を悪用しブルートフォース攻撃でID・パスワードを不正に取得

  7. LINEヤフー委託先への不正アクセス、社外のサービスシステムについての調査結果を公表

  8. NTTマーケティングアクトProCX 元派遣社員 顧客情報不正持ち出し、自治体をはじめとする多くの委託元での漏えいを確認

  9. 北海道大学病院のメールアカウントに不正アクセス、約3万件のフィッシングメールを送信

  10. 「健康いきいきライフスタイル」に不正アクセス、5,193 名のカード情報が漏えい

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×