大手出版会社、幻冬舎によると同社が運営するWebサイト「幻冬舎plus(以下、当サイトといいます)」において、第三者による不正アクセスにより、会員情報の一部が漏洩した可能性があることが判明したとして注意をうながしています。
【経緯】
2017年12月27日に当サイトの会員から、会員登録の際に入力したメールアドレス宛にフィッシングメールが届いたとの報告を受け、サーバーログ等の調査を開始。
その結果、本日までの調査で外部からの不正アクセスにより、会員情報の一部が漏洩した可能性が発覚。【漏洩した可能性のある会員情報】
2013年11月12日から2017年8月18日までに会員登録した最大93,014名の下記の情報
・メールアドレス
・ユーザーID
・名前(読み仮名含む)なお、会員登録時に同時に入力したパスワードや生年月日などの情報、決済時のクレジットカード情報、プレゼント応募時に入力した住所や電話番号などの情報は漏洩可能性のある情報に含まれていないとのことです。
※また幻冬舎が運営する他のウェブサイト、サービス、アンケート、キャンペーンなどは別のシステムで運営しておりますので、本件の対象ではありません。
【原因】
同社がシステム開発およびサーバー管理を委託している外部の協力会社が2017年3月30日に実施したシステムのバージョンアップの際に、脆弱性が発生していました。2017年8月18日に当サイトのパフォーマンス低下を検知し調査した際にこの脆弱性が発見され、即時対策が施されたものの、その際に脆弱性が発生した期間に対しての協力会社による不正アクセスの調査が当時実施されず、その時点では不正アクセスが認識できてなかったとのことです。今回の調査で改めてサーバーのログを解析したところ、サーバーのログを保存していた2017年7月16日以降でメールアドレスに対する不正アクセスの痕跡が認められたとのこと。
※これより前の期間はサーバーのログが保存されていないため不正アクセスがあったかどうか不明ですが、この脆弱性を意図的に利用すると前項に記載した会員情報(メールアドレス・お名前<読み仮名含む>)が不正に取得できる状況でした。
2017年8月18日に脆弱性のある部分は修正されていますが、改めて第三者のセキュリティ調査会社に協力をいただき、セキュリティの強化と安全性の確保に努めていくとしています。
本件に関するお問い合わせは、お手数ですが下記までお願いいたします。
「幻冬舎plus」個人情報お問い合わせ窓口
電話番号 0120-188-267 受付時間 平日 10:00~18:00(年末年始を除く)
メールアドレス gsupport@gentosha.co.jp詳細;幻冬舎plus
PARTNER
