ヤマケイオンラインサイトからの会員情報漏えいが報じられていました。
scan.netsecurity.ne.jp
公式発表(4/18)
この度、2020年4月13日に第三者からの指摘を受け、弊社が運営しております「ヤマケイオンライン」(https://www.yamakei-online.com/)について、所有するユーザー様の会員情報が流出していることが判明いたしました。
流出データの確認と解析を行った結果、2013年4月9日の「ヤマケイオンライン」リニューアル以前にご登録いただいた方の、登録個人情報であることが判明いたしました。
(中略)
これを受けまして、弊社としましては、所轄の警察署に被害の第一報を報告するとともに、お客様の登録済みのパスワードを、無作為に作成した文字列のパスワードに変更させていただきました。
(公式発表より引用)
キタきつねの所感
ヤマケイオンラインと聞いて、どこか見覚えがあったのですが、2017年に会員情報漏えいを発表していました。
参考:
foxsecurity.hatenablog.com
2度目の不正アクセス事件かな?と思ったのですが、発表内容を見ると2013年のリニューアル以前(7年以上前)会員情報の漏えいと発表されています。
2017年の漏えい時には、対象範囲が「1,160名」と発表されているのですが、解析できたログが約1か月分しかなかったので、推定件数として発表されています。
そう考えると、2017年(以前)の不正アクセスによるデータ漏えいの可能性もありそうです。※今頃不正利用されている事の説明はつきませんが。
改めて、ヤマケイオンラインのサイトを見てみたのですが、生年月日まで登録を求めている部分は少し気になりました。最近は”年代”を選択させる所も多いのですが、FAQを見ると、理由があって集めている様です。
会員登録画面も一応見てみましたが、空メールによる確認の後の登録といった普通の登録になっていて、現在のサイトでの脆弱性については特にひっかかる所はありませんでした。
では、漏えいが発生したとされるリニューアル以前(2013年1月)の会員登録画面を魚拓サイトから確認すろと、昔はこうしたサイトの作りが多々ありましたが、登録必須の個人情報は更に広かった様です。生年月日のみならず、住所、電話番号も必須となっていました。
これ以上は調べられる事がありませんでしたので、以下は推測になりますが、
実際に侵害を受けたのが、2013年より前に稼働していた旧サイトだったのだとすれば、今頃漏えい(不正利用)が発覚するのは、やはり遅すぎる気がします。
現在のサイトではパスワードリセットが行われていますので、現在の会員DBが侵害を受けた可能性が高そうです。
だとすると、旧サイト(2013年4月以前)から新サイト(2013年4月以降)に会員データを移行した事が考えられます。この際に新サイトで求めていない個人情報を消さずに移行していた可能性が高いのではないでしょうか?
2017年の前回の不正アクセス事件があった事を考えると、運営側はセキュリティを強化したはずですので、新規の不正アクセスが(2017年~2020年に)発生した可能性はあるものの、2017年の不正アクセス調査で(ログが無かったので)影響範囲に入ってなかった会員が侵害を受けていた可能性も考えられそうです。
仮にこの推測が合っているのだとすれば、
・ログを1か月しか取ってなかった
・新サイト移行時に本来不要の個人情報テーブルを削除しなかった
為に、2度目のリリースを出さなければならなくなった、そう言えるかも知れません。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴