「ヤマケイオンライン」システムリプレイス以前の会員データがダークウェブ上で取引(山と溪谷社) | ScanNetSecurity
2020.05.27(水)

「ヤマケイオンライン」システムリプレイス以前の会員データがダークウェブ上で取引(山と溪谷社)

山岳、自然等に関する雑誌・書籍の出版販売を行う株式会社山と溪谷社は4月23日、4月18日に公表した同社運営の「ヤマケイオンライン」( https://www.yamakei-online.com/ )の会員情報流出について続報を発表した。

インシデント・事故 インシデント・情報漏えい
山岳、自然等に関する雑誌・書籍の出版販売を行う株式会社山と溪谷社は4月23日、4月18日に公表した同社運営の「ヤマケイオンライン」( https://www.yamakei-online.com/ )の会員情報流出について続報を発表した。

これは4月13日に、第三者から指摘があり同社が調査したところ2013年4月9日の「ヤマケイオンライン」システムリプレイス以前の会員の個人情報データがダークウェブ上で取引されていることが4月14日に判明したというもの。

流出したのは2013年4月9日以前に「ヤマケイオンライン」に登録した会員29,431人のメールアドレス、ログインパスワード、生年月日、電話番号を含む個人情報。

同社では4月15日に所轄の神田警察署に報告を、4月17日には警視庁サイバー犯罪対策課に情報提供を行うとともに、4月18日には対象会員の登録パスワードをリセットし報告と謝罪メールを送信し、会員への注意喚起とパスワード変更を依頼した。

同社の「ヤマケイオンライン」では、2015年7月と2017年11月に外部からSQLインジェクション攻撃を受けており、今回流出対象となった旧システムのデータは、2015年当時のWebアプリケーションからアクセスできるサーバー領域に存在しており、同社では2015年の不正アクセスとの関連性について調査を行っている。

同社によると、2015年7月にWebアプリケーションから当該データへのアクセスは遮断しており、現在、当該データはサーバ上から削除済みで、パスワードも2013年4月9日以降のデータでは暗号化している。また2017年12月のセキュリティ強化以降は、同サイトへの不正アクセスは現時点で確認されていない。

同社では今後、さらなる監視体制の強化と再発防止策を図るとのこと。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

編集長就任10周年記念「宣ベロキャンペーン」中!
編集長就任10周年記念「宣ベロキャンペーン」中!

Scan PREMIUM が半額! こんな時期だからこそセキュリティの未来を考えるオンライン飲み会を開催

×