2018年8月17日(金)

プレミアム・アウトレット認証失敗時のパスワード流出

科学&新技術
BP速報
2018/6/8 18:00
保存
共有
印刷
その他

日経クロステック

 三菱地所・サイモンは2018年6月7日、同社が運営するショッピングモール「プレミアム・アウトレット」の会員情報が流出した事件のセキュリティー会社による調査結果を明らかにした。登録済みの会員データのメールアドレスとパスワードに一致した24万件、メールアドレスのみ一致した3万件のほか、ユーザー認証時にエラーになったIDとパスワードの組み合わせも流出していると認めた。

調査のために臨時ホームページを表示するプレミアム・アウトレットのウェブサイト(出所:三菱地所・サイモン)

調査のために臨時ホームページを表示するプレミアム・アウトレットのウェブサイト(出所:三菱地所・サイモン)

 同社は、プレミアム・アウトレットの会員情報が流出している可能性があると発表した4月7日から調査を開始し、ネット上の5カ所で会員情報が公開されていることを確認。すべて同一のデータだったという。

 漏洩データに含まれていた情報は、会員システムで管理していた会員データとエラーデータの一部に含まれるメールアドレスとパスワード。同社は、ユーザーが認証時に入力してエラーになったIDとパスワードの組み合わせをエラーデータとして保存していた。また、会員データとエラーデータに含まれていないデータも含まれていたが、「当社から流出したかどうかは判別できない」(広報)としている。

 セキュリティー会社の調査によれば、漏洩原因はウェブサーバーが抱えてた「SQLインジェクション」の脆弱性。17年5月から18年1月までの間に、複数回のSQLインジェクション攻撃を受けて漏洩したという。会員データとエラーデータに含まれるパスワードはハッシュ化などの処理をしていなかった。

 同社は、公開されている漏洩データの削除をJPCERTコーディネーションセンター(JPCERT/CC)に依頼。会員サービス再開の有無については、十分な安全性の検証をはかったうえで検討するとしている。

(日経 xTECH/日経NETWORK 齊藤貴之)

[日経 xTECH 2018年6月7日掲載]

保存
共有
印刷
その他

日経BPの関連記事

電子版トップ



[PR]

日本経済新聞社の関連サイト

日経IDの関連サイト

日本経済新聞 関連情報