「ヤマケイオンライン」システムリプレイス以前の会員データがダークウェブ上で取引（山と溪谷社）

山岳、自然等に関する雑誌・書籍の出版販売を行う株式会社山と溪谷社は4月23日、4月18日に公表した同社運営の「ヤマケイオンライン」（ https://www.yamakei-online.com/ ）の会員情報流出について続報を発表した。

これは4月13日に、第三者から指摘があり同社が調査したところ2013年4月9日の「ヤマケイオンライン」システムリプレイス以前の会員の個人情報データがダークウェブ上で取引されていることが4月14日に判明したというもの。

流出したのは2013年4月9日以前に「ヤマケイオンライン」に登録した会員29,431人のメールアドレス、ログインパスワード、生年月日、電話番号を含む個人情報。

同社では4月15日に所轄の神田警察署に報告を、4月17日には警視庁サイバー犯罪対策課に情報提供を行うとともに、4月18日には対象会員の登録パスワードをリセットし報告と謝罪メールを送信し、会員への注意喚起とパスワード変更を依頼した。

同社の「ヤマケイオンライン」では、2015年7月と2017年11月に外部からSQLインジェクション攻撃を受けており、今回流出対象となった旧システムのデータは、2015年当時のWebアプリケーションからアクセスできるサーバー領域に存在しており、同社では2015年の不正アクセスとの関連性について調査を行っている。

同社によると、2015年7月にWebアプリケーションから当該データへのアクセスは遮断しており、現在、当該データはサーバ上から削除済みで、パスワードも2013年4月9日以降のデータでは暗号化している。また2017年12月のセキュリティ強化以降は、同サイトへの不正アクセスは現時点で確認されていない。

同社では今後、さらなる監視体制の強化と再発防止策を図るとのこと。